Deutsche Vereinigun 
für Datenschutz e.V. 


RAY DVD 


Datenschutz 
Nachrichten 


45. Jahrgang 
14,00 Euro 


ISSN 0137-7767 


m Google-Tools für Webseiten und datenschutzfreundliche Alternativen m Coo- 
kies - Spuren im Netz m Betroffen von Datenschutzverstößen - Was tun? m 
Tipps im Internet zur datenschutzgerechten Nutzung sozialer Medien m Europa 
reguliert mit dem Digital Services Act das Internet m BigBrotherAwards 2022 m 
Pressemitteilungen m Nachrichten m Rechtsprechung m Buchbesprechungen m 


— 
{eb} 
N 

a) 
=) 

Js 
© 
1%] 
= 
{eb} 
» 
ja®) 

=) 
Di 

35) 

— 
je)] 
= 
>) 
je)] 

co 
= 

. 
{eb} 
De 
(eP} 

> 
© 

Is 
© 
nn 
u 
=) 
{«P} 

e 


kb} 
—o 
e 
© 
_ 
eb} 
> 
N 
3 
=} 
—. 
o 
12} 
{=} 
jeb} 
Pe] 
Las} 
—- 
= 
ES 
= 


Klaus Meffert 
Google-Tools für Webseiten und datenschutzfreundliche 


Laudatio zum BigBrotherAward 2022 in der Kategorie 
„Lebenswerk“: Die Irische Datenschutzbehörde 


Alternativen 68 (DPC - Data Protection Commissioner) 93 
Podcast Pressemitteilung vom 15.02.2022 
Cookies - Spuren im Netz 71 Netzwerk Datenschutzexpertise fordert Totalreform 
Nena eshoneemen) des Ausländerzentralregisters 98 
Warum ich Facebook und Co. nutze ... 73 Pressemitteilung von Digitalcourage vom 25.02.2022 
Thilo Weichert 1.000 Hilfsangebote für Schulen zu datenschutz- 
Betroffen von Datenschutzverstößen - Was tun? 73 lem Unterzicht 2 
Heinz Alenfeld (Übersetzter) Offener Brief von EDRi und anderen vom 
er a 2 17.03.2022 zur geplanten Verordnung zur Bekämpfung 

Mit der Gießkanne gegen Flächenbrände? - es Kondesmcbrauche 100 
Tipps im Internet zur datenschutzgerechten Nutzung 
sozialer Medien 78 Leserbrief 

Das Nötige tun, dem Möglichen widerstehen 101 
Frans Valenta 
Technische Innovationen aus China 81 Datenschutznachrichten 
Katrin Lowitz Deutschland 103 
Auswirkungen von zehn Jahren Newsfeed 83 Aland 110 
Klaus-Jürgen Roth 
Europa reguliert mit dem Digital Services Act Rechtsprechung z 
das Internet 86 Buchbesprechungen 130 
Heinz Alenfelder 
Neues aus der „Hauptstadt des Datenschutzes”: 
BigBrotherAwards 2022 92 


Foto: Pixabay..com 


66 


Montag, 01.08.2022 
Redaktionsschluss DANA 3/2022 
Schwerpunkt: Datenschutz als 
Grundrecht 


Sonntag, 11.09.2022 
DVD-Vorstandssitzung 
Kiel 

Montag, 12.09.2022 


Sommerakademie 2022 
ULD, Kiel 


Freitag, 23.09.2022 
Datenschutztag 2022 
Computas, Köln 


Mittwoch/Donnerstag, 
28./29.09.2022, 
Privacy Conference 
Bitkom, online 


Donnerstag/Freitag, 
13./14.10.2022 
Jahreskonferenz 
Forum Privatheit, Berlin 


Samstag, 22.10.2022 
DVD-Vorstandssitzung 
Bonn 


Mittwoch/Donnerstag, 
26./27.10.2022, 
Herbstkonferenz 
BvD, Stuttgart 


Freitag, 28.10.2022 
Behördentag 
BvD, Stuttgart 


DANA « Datenschutz Nachrichten 2/2022 


DANA 


Datenschutz Nachrichten 
ISSN 0137-7767 
45. Jahrgang, Heft 2 


Herausgeber 
Deutsche Vereinigung für 
Datenschutz e.V. (DVD) 
DVD-Geschäftsstelle: 
Reuterstraße 157, 53113 Bonn 
Tel. 0228-222498 
IBAN: DE94 3705 0198 0019 0021 87 
Sparkasse KölnBonn 
E-Mail: dvd@datenschutzverein.de 
www.datenschutzverein.de 


Redaktion (ViSdP) 
Hans-Dieter Neumann 
c/o Deutsche Vereinigung für 
Datenschutz e.V. (DVD) 
Reuterstraße 157, 53113 Bonn 
dvd@datenschutzverein.de 
Den Inhalt namentlich gekenn- 
zeichneter Artikel verantworten die 
jeweiligen Autorinnen und Autoren. 


Layout und Satz 
Frans Jozef Valenta, 53119 Bonn 
valenta@datenschutzverein.de 


Druck 
Onlineprinters GmbH 
Dr.-Mack-Straße 83 
90762 Fürth 
www.onlineprinters.de 
Tel. +49 (0) 9161 6209800 
Fax +49 (0) 9161 8989 2000 


Bezugspreis 
Einzelheft 14 Euro. Jahresabonnement 
48 Euro (incl. Porto) für vier 
Hefte im Jahr. Für DVD-Mitglieder ist der 
Bezug kostenlos. Nach einem Jahr kann 
das Abonnement jederzeit mit einer Frist 
von einem Monat gekündigt werden. Die 
Kündigung ist schriftlich an die DVD- 
Geschäftsstelle in Bonn zu richten. 


Copyright 
Die Urheber- und Vervielfältigungsrechte 
liegen bei den Autoren. 

Der Nachdruck ist nach Genehmigung 
durch die Redaktion bei Zusendung von 
zwei Belegexemplaren nicht nur gestat- 
tet, sondern durchaus erwünscht, wenn 

auf die DANA als Quelle hingewiesen 

wird. 


Leserbriefe 
Leserbriefe sind erwünscht. Deren 
Publikation sowie eventuelle Kürzungen 
bleiben vorbehalten. 


Abbildungen, Fotos 
Frans Jozef Valenta, Pixabay, iStock, 
Titel: iStock/... 


DANA ® Datenschutz Nachrichten 2/2022 


Editorial 


Der Schwerpunkt dieser Datenschutz Nachrichten beschäftigt sich mit Social Media 
und dem Problem des Tracking. Dazu haben wir uns einen großen Dienstleister im 
Internet mit seinem datengetriebenen Geschäftsmodell angeschaut (Klaus Meffert). 
Ergänzend werden auch alternative Produkte besprochen. In einem Podcast, den wir 
freundlicherweise überarbeiten und in Textform darstellen durften, werden Cookies, 
ihre Funktion und mögliche Abwehrmechanismen erläutert, einschließlich der Fol- 
gen, die das für Betroffene haben kann. Auch hier gibt es Alternativen. 


Eine Autorin (Name der Redaktion bekannt) schreibt uns ihre Begründung dafür, dass 
sie allen bekannten Datenschutzhinweisen zum Trotz Facebook verwendet. Da bleibt 
es nicht aus, dass man irgendwann selbst von Datenschutzverstößen betroffen ist. 
Was dann zu tun ist, erläutert Thilo Weichert. Die Betroffenenrechte sind recht umfas- 
send ausgestaltet und verlangen eine intensive Beschäftigung mit dem Kapitel III der 
DSGVO. Diese Hinweise werden ergänzt durch den Aufsatz zur datenschutzgerechten 
Mediennutzung von Heinz Alenfelder. Er stellt unter anderem auch die Möglichkeiten 
vor, die uns das BSI und andere Akteure zur Verfügung stellen. Frans Valenta infor- 
miert uns über technische Innovationen aus China. Er präsentiert zwei technisch her- 
vorragende Produkte aus dem Reich der Mitte, deren Anwendungen jedoch viel Raum 
für Datenschutzmaßnahmen eröffnen. 


Katrin Lowitz setzt sich mit den Nutzungs- und anderen Bedingungen in der Social- 
Media-Welt auseinander und liefert daneben einen Abriss der geschichtlichen Ent- 
wicklung von der Gründungszeit der sozialen Medien bis hin zu den politischen Ein- 
flussmöglichkeiten, die heutzutage möglich sind. Einen hochaktuellen Beitrag zum 
Digital Services Act liefert Klaus-Jürgen Roth. Dieses Gesetz sowie weitere werden wir 
in den nächsten DANA-Ausgaben eingehender besprechen. 


Auch in diesem Jahr haben die datenschutzrechtlich besonders schlecht ausgestat- 
teten Organisationen ihren Preis bekommen. Wir berichten über die „Oscars für Da- 
tensünder” und müssen feststellen, dass selbst Sicherheitsorgane zu den Preisträgern 
gehören. Nachrichten, Urteile und Buchbesprechungen sowie ein Leserbrief runden 
das Angebot dieser DANA-Ausgabe ab. Ich wünsche Ihnen eine angenehme und anre- 
gende Lektüre. 


Ihre DANA-Redaktion 


Autorinnen und Autoren dieser Ausgabe: 


Heinz Alenfelder, Vorstandsmitglied der DVD, alenfelder@datenschutzverein.de 
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Dr. Ing. Klaus Meffert, Informatiker und Datenschützer, klaus.meffert@dr-dsgvo.de 


Hans-Dieter Neumann, Datenschutzbeauftragter und Vorstandsmitglied der DVD, 
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Klaus-Jürgen Roth, Bonn, dvd@datenschutzverein.de 
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Klaus Meffert 


Google-Tools für Webseiten und datenschutzfreundliche 


Alternativen 


Wie Google Daten sammelt und warum das problematisch sein kann 


Einleitung 


Bei vielen Betreibern von Webseiten 
sind die kostenfrei verfügbaren Google- 
Dienste beliebt. Beispielsweise kann 
mit einem Plugin eine interaktive Kar- 
te eingebunden werden. Auch Schrift- 
arten, die von Google bereitgestellt 
werden, werden oft genutzt. Weitere 
Tools, wie diese Dienste oder Plugins 
auch genannt werden, runden das An- 
gebot ab. Dazu zählen beispielsweise 
Google reCAPTCHA zum Absichern von 
Formularen und Webseiten oder Google 
Analytics zum Analysieren von Nutzern 
auf verschiedene Weise. 

So sehr die Google-Dienste mit ihrer 
Funktionalität bestechen, so problema- 
tisch sind sie doch zu beurteilen, wenn 
es um den Datenschutz geht. Die Grün- 
de dafür beschreibe ich nachfolgend. 


Mutterkonzern in den USA 


Google hat bekanntlich seine Wurzeln 
in den USA. Die weltweit agierenden 
Google-Töchter hängen alle an amerika- 
nischen Muttergesellschaften. 

Seit dem Urteil des Europäischen Ge- 
richthofs (EuGH) sind Datenübertra- 
gungen in die USA hochproblematisch. 
Das bezieht sich auch auf die Möglich- 
keit von den USA aus auf die Daten zu- 
greifen zu können. 

Das Urteil wurde von Max Schrems er- 
wirkt und heißt deswegen „Schrems II”. 
Der EuGH hat den sogenannten Privacy 
Shield für ungültig erklärt. Der Privacy 
Shield war ein informelles Datenschutz- 
abkommen zwischen Europa und den 
USA. Das erste Urteil, welches Schrems 
zuvor erwirkte, erklärte das frühere Da- 
tenschutzabkommen namens „Safe Har- 
bor” für ungültig. 

Aktuell ist ein neues Datenschutzab- 
kommen zwischen der EU und den USA 
im Gespräch. Solange die im folgenden 
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genannten Überwachungsgesetze aller- 
dingsin Kraft sind, wird es keine Aussicht 
auf Erfolg haben und spätestens mit dem 
nächsten EuGH-Urteil für nichtig erklärt. 


Überwachungsgesetze in den USA 


Worum geht es beim Schrems-II-Urteil 
und warum ist Datenschutz in den USA 
so kritisch zu bewerten? 

Die USA erlauben es Behörden und Ge- 
heimdiensten aufgrund von Verfahren, 
die nicht den Standards des europäi- 
schen Rechtsverständnisses genügen, 
die Daten von deutschen und anderen 
europäischen Bürgern abzugreifen. Für 
die interessierten Leser, die sich wei- 
ter informieren möchten, sind hier die 
Überwachungsgesetze EO 12333, FISA 
702 und Cloud Act genannt. 

Das Problem ist, dass betroffene Per- 
sonen aus Europa naturgemäß nichts 
davon erfahren überwacht zu werden. 
Die DSGVO garantiert den Betroffenen 
aber, dass sie dies erfahren dürfen und 
dass ihre persönlichen Daten geschützt 
sind. Unter anderem deswegen kann die 
DSGVO in den USA nicht eingehalten 
werden. 


Serverstandort egal 


Die Überwachungsgesetze der USA 
gelten unabhängig vom Standort eines 
Servers. Bietet eine amerikanisch ge- 
führte Firma einen Service an, der Ser- 
ver nutzt, die sich in Europa befinden, 
können amerikanische Behörden über 
die US-Überwachungsgesetze dennoch 
auf diese Server zugreifen. Hierzu wird 
die amerikanische Muttergesellschaft 
aufgefordert die Daten auf dem Server, 
auf den sie technisch oder rechtlich 
Zugriff haben kann, herauszugeben. 
Die Muttergesellschaft hat dann zur Not 
eine ihrer Tochtergesellschaften aufzu- 
fordern sie dabei zu unterstützen. 


Personenbezug bei Webseitenbesuch 


Die DSGVO regelt ausdrücklich die 
Nutzung solcher Daten, die direkt oder 
indirekt einer Person zugeordnet wer- 
den können oder aufgrund derer eine 
Person identifiziert werden kann. 

Besucht jemand eine Webseite, wird 
aus technischen Gründen dabei immer 
die Netzwerkadresse des Besuchers 
übermittelt. Diese Netzwerkadresse 
heißt auch IP-Adresse. Die IP-Adresse 
gilt als personenbezogenes Datum. Das 
wurde 2016 vom EuGH grundsätzlich 
festgestellt und vom Bundesgerichtshof 
(BGH) 2017 für Deutschland bestätigt. 

Bindet eine Webseite nun ein Google- 
Plugin ein, etwa zur Anzeige einer inter- 
aktiven Karte, dann wird die Netzwerk- 
adresse des Besuchers der Webseite aus 
technisch notwendigen Gründen auch 
an Google übertragen. 

Somit findet eine Übertragung perso- 
nenbezogener Daten derart statt, dass 
über amerikanische Überwachungsge- 
setze ein Zugriff daraufin einer mit der 
DSGVO nicht vereinbaren Weise mög- 
lich ist. 


Verhaltensanalyse durch Google 


Das Geschäftsmodell von Google ist 
stark datengetrieben. Ein großer Teil des 
riesigen Umsatzes wird mit personalisier- 
ter Werbung erwirtschaftet. Damit Google 
Werbung personalisieren kann, müssen 
Nutzer besser kennengelernt werden. 

Dazu analysiert Google das Verhalten 
von Ihnen und mir, Ihre Surfgewohn- 
heiten und Vorlieben. Technisch ist es 
für einen weltweit genutzten Konzern 
leicht möglich Ihre Reise durch das In- 
ternet sehr genau nachzuzeichnen. Das 
Android-Smartphone und die Google- 
Suchmaschine sind zwei Kontaktpunk- 
te, die Google besonders viele ergiebige 
Daten liefern dürften. 
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Die Daten, die Google erhält, stammen 
teils aus eigenen Erhebungen, wie bei 
der Google-Suchmaschine oder Android- 
Smartphones. Aber auch Webseiten, die 
Google-Plugins installiert haben, senden 
Signale von Ihnen an Google, wenn Sie 
die entsprechende Webseite besuchen. 
Diese Datenerfassung finden in vielen 
Fällen ohne Rechtsgrundlage statt. Ver- 
antwortlich ist derjenige, der die gerade 
besuchte Webseite betreibt, auch wenn 
derjenige oft selbst nichts davon hat, 
dass Google Ihre Daten erhält. Google 
selbst nutzt bis dato Einwilligungsabfra- 
gen, die nicht rechtskonform sind, wie 
kürzlich verschiedene europäische Da- 
tenschutzbehörden feststellten. 

Oft nutzt Google auch Cookies, um 
Nutzer möglichst eindeutig zu identi- 
fizieren. Diese Cookies sind oft nicht 
einwilligungsfrei, werden aber ohne or- 
dentliche Einwilligung verwendet. Das 
nur am Rande. Wer mehr wissen will, fin- 
det in 8 25 TTDSG einen Anhaltspunkt. 


Mögliche Abhilfe 


Bei standardisierten Tools und Plugins 
wie denen von Google kann keine Ver- 
schlüsselung von Nutzerdaten, wie der 
Netzwerkadresse, vorgenommen werden. 
Die Verschlüsselung wäre ansonsten ein 
Mittel, um die Nutzerdaten ausreichend 
zu schützen und die Probleme mit Über- 
wachungsgesetzen zu beseitigen. 

Die DSGVO bietet als Rechtsgrundla- 
ge bei (potentieller) Datenverarbeitung 
in einem unsicheren Drittland die Ein- 
willigung durch einen Nutzer an. Dies 
steht in Art. 44ff DSGVO. Die Einwilli- 
gung kann vom Betreiber einer Web- 
seite grundsätzlich eingeholt werden, 
bevor die Webseite einen Google-Dienst 
einbettet. 

Die Einwilligungsabfrage für Google- 
Plugins ist allerdings kaum (oder gar 
nicht) in rechtskonformer Weise mög- 
lich. Denn dazu müsste der Webseiten- 
betreiber als Verantwortlicher alles über 
die Datenverarbeitung wissen, was auch 
Google weiß. Google verrät allerdings 
nur in eingeschränkter und intranspa- 
renter Weise, was mit den Daten pas- 
siert, die Google von anderen erhält. 

Demnach ist selbst eine Einwilli- 
gungsabfrage für Google-Plugins kei- 
ne wirklich rechtssichere Möglichkeit. 
Dies stellte auch die französische Da- 
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tenschutzbehörde CNIL für Google Ana- 
lytics Anfang 2022 fest und verbot die- 
ses Tracking-Tool gänzlich. 


Datenschutzfreundliche Möglichkeiten 


Je nachdem, was Sie als Webseiten- 
betreiber erreichen möchten, gibt es 
unterschiedliche Möglichkeiten, um auf 
Google-Dienste zu verzichten. 


Vorteile 


Der Verzicht auf den Einsatz von 
Diensten amerikanischer Unternehmen 
hat mehrere Vorteile. 

Erstens sparen Sie im Endeffekt eine 
Menge Aufwand. Der Aufwand für das In- 
stallieren eines alternativen Plugins mag 
höher sein als für die funktionell perfekt 
durchgestylten Google-Plugins. Aber der 
Aufwand für die Abstimmung mit einem 
Datenschutz-Experten oder dem Websei- 
ten-Betreuer ist erheblich geringer. 

Zweitens benötigen Sie keine Ein- 
willigungsabfrage, die auch als Coo- 
kie-Popup benötigt wird. Sicher wur- 
den Sie selbst schon mehrfach von sol- 
chen Popups belästigt und fanden die- 
se einfach nur nervig. Genauso geht es 
Besuchern Ihrer Webseite auch, wenn 
dort ein Cookie-Popup weggeklickt 
werden muss. Wer kein Popup braucht, 
muss es auch nicht installieren und 
konfigurieren oder jemanden beauftra- 
gen, das zutun. 

Drittens erhöhen Sie so Ihre Rechts- 
sicherheit erheblich. Meine Untersu- 
chungen zeigen, dass Cookie-Popups 
in der Praxis sehr oft zu rechtswidrigen 
Webseiten führen oder gerade der Grund 
für die Probleme sind. Hierfür gibt es 
mehrere Gründe, die ich einem eige- 
nen Artikel! beschreibe. 


Lösungen 


Für einige häufige Anwendungsfälle 
finden Sie nun Empfehlungen für da- 
tenschutzfreundliche Lösungen. Als 
Aufhänger ist das jeweilige Google-Tool 
genannt, das dadurch ersetzt werden 
kann. 


Google-Maps-Plugin 

Zweck: Interaktive Karte auf einer 
Webseite einbetten, meist zur Anzeige 
eines Standorts. 


Oft möchten Sie vielleicht tatsächlich 
einen Standort anzeigen. In diesem 
Fall empfehle ich eine interaktive Karte 
auf Basis von OpenStreetMap (OSM). 

OpenStreetMap ist wesentlich daten- 
schutzkonformer als Google Maps. Je- 
doch sollten Sie OpenStreetMap nicht 
direkt einbetten, damit die Daten Ihrer 
Nutzer nicht an die Anbieter von Open- 
StreetMap geschickt werden und Sie 
nicht in Erklärungsnot geraten. 

Mein Plugin? für eine interaktive Kar- 
te bietet vollen Datenschutz. Die Daten 
Ihrer Nutzer werden nicht weitergege- 
ben. Eine Cookie-Popup ist nicht nötig. 

Wenn Sie hingegen Ihren Besuchern 
eine Anfahrtsplanung ermöglichen 
möchten, empfehle ich statt dessen ei- 
nen Button mit der Aufschrift „Anfahrt 
planen”. Haben Sie kaum Publikums- 
verkehr, dann brauchen Sie vielleicht 
weder eine interaktive Karte noch einen 
solchen Button. 

Möchten Sie zeigen, wo sich Ihr Un- 
ternehmen befindet, ist oft eine reiz- 
volle Umgebungskarte oder Stand- 
ortkarte als statisches Bild nützlicher. 
Ein solches Bild gibt es vielleicht von 
Ihrem Stadtmarketing oder kann selbst 
angefertigt werden. Ja, das ist mehr 
Aufwand, als ein nur wenig reizvolles, 
vorgefertigtes Kartenmaterial einzubin- 
den, ist aber sinnvoller. 


Google Fonts 

Zweck: Schriftart nutzen. 

Google Fonts werden auch als Google 
Web Fonts oder Google Schriften be- 
zeichnet. 

In Wahrheit bietet Google „nur“ eine 
Infrastruktur, über die Designer ihre 
selbst erstellten Schriften hochladen 
und Sie diese Schriften auf Ihrer Web- 
seite abrufen können. 

Werden die Schriften von einem 
Google-Server abgerufen, ist dies laut 
LG München (Urteil vom 20.01.2022 - 
3 0 17493/20) rechtswidrig. Ich selbst 
hatte das schon ein Jahr vorher fest- 
gestellt. Der wichtigste Grund ist aus 
meiner Sicht das Vorhandensein eines 
milderen Mittels. 

Sie können die Schriften lokal ein- 
binden anstatt sie vom Google Server 
zu laden. Das isttechnisch möglich und 
lizenzrechtlich erlaubt. Für die lokalen 
Schriften benötigen Sie keinen Daten- 
schutztext. 
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Das Tool Google Web Fonts Helper 
erlaubt es Schriften herunterzuladen. 
Danach können die Schriften auf den 
eigenen Webserver kopiert und von dort 
eingebunden werden. Den Link zum 
Tool finden Sie in meinem Beitrag zu 
Google Fonts’. Dort nenne ich auch Ar- 
gumente, die das eben genannte Urteil 
des LG München stützen. 


Google reCAPTCHA 

Zweck: Formular vor Spam schützen. 

Mit reCAPTCHA werden oft Formula- 
re gegen Spam abgesichert. Damit soll 
verhindert werden, dass Computerpro- 
gramme, sogenannte Bots, automa- 
tisiert ein Formular ausfüllen und Sie 
deswegen eine unerwünschte Nach- 
richt erhalten. 

reCAPTCHA von Google nutzt zahlrei- 
che Cookies und ist deshalb rechtlich 
kaum beherrschbar. Auch der USA-Be- 
zug, den ich oben erwähnt hatte, lässt 
sich nicht wegdiskutieren. 

Mit einem zusätzlichen Formular- 
feld können Sie die meisten Roboter 
aussperren. Stellen Sie eine einfache 
Rechenaufgabe, die ein Mensch leicht 
lösen kann, ein Roboter aber nicht. Im 
Eingabefeld dazu ist die Lösung einzu- 
geben. Nur wenn die Lösung richtig ist, 
kann das Formular abgeschickt werden. 

Fragen Sie beispielsweise: „Wie viel 
sind neun weniger 2? Ergebnis bitte als 
Wort schreiben”. 

Wer technisch versierter ist, kann statt 
dessen eine auf der Programmierspra- 
che PHP basierende Lösung einbinden. 
PHP ist eine universell nutzbare Sprache, 
die fast jeder Webserver versteht. 

Für WordPress-Webseiten gibt es das 
Plugin Contact Form 7 Image Captcha‘. 
Es stellt vier Symbole dar und fragt „Kü- 
cken Sie auf das Auto“. 


Google Analytics 

Zweck: Verhalten von Nutzern analy- 
sieren. 

Meistens wird Google Analytics zur 
Reichweitenmessung verwendet. Oder 
das Tool wird nach meiner Erfahrung gar 
nicht genutzt und ist nur deshalb noch 
eingebunden, weil es noch nicht ent- 
fernt wurde. 

Um zu wissen, wie viele Besucher Ihre 
Webseite hat, können Sie zahlreiche 
Lösungen nutzen, die keine Einwilli- 
gungsabfrage erfordern und von Ihnen 
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selbst betrieben werden. Hier ein paar 

Beispiele: 

« Matomo°: kostenfrei, Open Source, lo- 
kal installierbar. 

« WP Statistics: kostenfrei, Open Sour- 
ce, lokal, für WordPress. 

+ Offen.dev’: kostenfrei, Open Source. 

« Conversion Tracking®: Auch daten- 
schutzkonform möglich. 


Sie erfahren damit auch, welche Ihrer 
Seiten am meisten aufgerufen werden 
und von wo die Besucher kamen (bei- 
spielsweise: Suchmaschine X oder Di- 
rektaufruf). 


Google Search Console 

Zweck: Ermitteln, mit welchen Such- 
begriffen die eigene Webseite gefunden 
wurde. 

Eine gute Nachricht zum Schluss: 
Dieser Google-Dienst kann weiterhin 
genutzt werden. Es handelt sich um 
eine eigenständige Funktionalität 
außerhalb Ihrer Verantwortlichkeit. 
Google ermittelt über die in der Google 
Suchmaschine präsentierten Sucher- 
gebnisse eigenverantwortlich, welche 
Suchbegriffe zu einem Treffer für Ihre 
Webseite führten. 

Sie müssen dafür nichts auf Ihrer ei- 
genen Webseite installieren, sondern 
sich lediglich bei der Google Search 
Console registrieren. Übrigens gibt 
es etwas ähnliches auch bei anderen 
Suchmaschinen, wie Bing von Microsoft 
(Bing Webmaster Tools). 

Wenn wir schon bei Suchmaschinen 
sind. Vielleicht möchten Sie einmal 
duckduckgo.com oder ecosia.org aus- 
probieren? Statt dem Chrome Browser 
von Google könnten Sie Firefox oder auf 
dem Handy den Browser von duckduck- 
go nutzen. 


Fazit 


Für nahezu jedes häufige Problem gibt 
es eine datenschutzfreundliche Alter- 
native. 

Der Gesamtaufwand für die Installa- 
tion solcher Alternativen auf Webseiten 
ist nach meiner Erfahrung geringer als 
die Nutzung von leicht zugänglichen 
Tools und Plugins. 

Rechtssicherheit muss eben mit einge- 
preist werden. Wer sich vorgenommen hat 
aufgrund von Datenschutzvorfällen, Ge- 


setzesänderungen, neuen Gesetzen oder 
wegen der Berichterstattung über Abmah- 
nungen tätig zu werden, kann es auch 
gleich richtig machen und muss nicht auf 
eine Motivation von außen warten. 

Cookie-Popups können vermieden 
werden, wenn Lösungen eingesetzt wer- 
den, die keine Datenschutzprobleme 
erzeugen. Der Effekt dürften weniger 
genervte und somit zufriedenere Nutzer 
sein, die eher Umsatz bringen. 

Die DSGVO hat nicht wirklich viel 
Neues eingeführt, wenn man sich das 
Vorgängergesetz, das Bundesdaten- 
schutzgesetz, ansieht. Auch das Urteil 
zu IP-Adressen wurde vor der DSGVO 
gesprochen. Wenn Internetkonzerne 
Datenschutz ernster nehmen würden, 
hätten wir viel weniger Probleme, um 
die wir uns kümmern müssten. 

Nutzen Sie den Datenschutz als Qua- 
litätsmerkmal und sehen Sie ihn als 
Möglichkeit zur Effizienzsteigerung und 
für einen ruhigeren Schlaf. Immerhin 
haben deutsche und europäische Un- 
ternehmen die Chance mit datenschutz- 
freundlichen Lösungen zu punkten und 
auf dem Markt zu bestehen. 

Oft ist weniger mehr. Nicht alles, was 
möglich ist, ist sinnvoll. Ich konnte hier 
nicht auf weitere Aspekte eingehen, wie 
etwa Online Werbung. Auch hier gilt 
das, was mirmeine Lebenserfahrung aus 
dem Geschäftsleben zeigt: Der einfachs- 
te Weg ist meist nicht der optimale. Das, 
was alle tun, ist oft nicht der beste Weg. 
Kostenlos bedeutet oft im wahrsten Sin- 
ne des Wortes umsonst. 


1. https://dr-dsgvo.de/cookie-popups- 
darum-funktionieren-sie-nicht/ 


2. https://dr-dsgvo.de/karte 


3. https://dr-dsgvo.de/google-schriften- 
auf-websites-nur-mit-einwilligung/ 


4. https://wordpress.org/plugins/contact- 
form-7-image-captcha/ 


5. Konfigurationshinweise unter https:// 
dr-dsgvo.de/matomo-fuer-besucher- 
statistiken-auf-webseiten- 
datenschutzkonform-und-ohne- 
einwilligung-nutzen/ 


6. https://de.wordpress.org/plugins/ 
wp-statistics/ 

7. https://www.offen.dev/ 

8. Hinweise unter: https://dr-dsgvo.de/ 
conversion-tracking-und-marketing- 


attribution-auf-webseiten- 
datenschutzfreundlich-moeglich/ 
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Cookies - Spuren im Netz 


Ein Podcast der Vogel IT-Medien GmbH, moderiert von Ira Zahorsky. Gesprächspartner ist Hans-Dieter Neumann (DVD). Der ge- 
sprochene Text wurde für den Druck überarbeitet. Der Podcast ging am 07.06.2022 online.' 


Bild: iStock.com/ klyaksun 


Intro: Online-Werbung ist überall 
und ein Riesengeschäft. Um persona- 
lisierte Werbung ausspielen zu dürfen, 
müssen die User einer Website den Coo- 
kies zustimmen. Das ist normalerweise 
eine recht nervige Angelegenheit, au- 
ßer man willigt pauschal in alle Cookies 
ein. Das heißt aber auch, dass man dem 
Website-Betreiber jede Menge Daten 
zur Verfügung stellt. Wie transparent 
sind wir also? Und welche Informatio- 
nen werden über uns gesammelt? 

Hans-Dieter Neumann von der Deut- 
schen Vereinigung für Datenschutz e.V. 
erklärt uns in diesem Podcast, was es 
mit den Cookies auf sich hat. 


Zahorsky: Hallo Herr Neumann! Die 
Deutsche Vereinigung für Datenschutz, 
kurz DVD, ist eine unabhängige Bür- 
gerrechtsvereinigung, die sich für Da- 
tenschutzbelange in Deutschland und 
Europa einsetzt. Im Zusammenhang 
mit Cookies ist das Thema Datenschutz 
wichtig. Vielleicht können Sie erstmal 
kurz erklären, was Cookies sind? 

Neumann: Hallo Frau Zahorsky, zu- 
nächst einmal vielen Dank für die Ein- 
ladung und die Möglichkeit, hier unser 
Anliegen vortragen zu dürfen. 

Cookies sind Datensätze.? Sie werden 
beim Besuch einer Website auf dem 
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Endgerät (Rechner, Tablet, Handy) ge- 
speichert, u. a. um den Besucher wie- 
derzuerkennen. Gespeichert werden 
diese Informationen vom Browser, den 
ein Nutzer verwendet. Leider ist immer 
noch zu oft die Aussage „Cookies sind 
kleine Textdateien“ in den Datenschutz- 
erklärungen vieler Websitebetreiber zu 
finden. Das mag früher einmal richtig 
gewesen sein - heute sind die Begriffe 
„klein“ und „Text“ verfehlt. 

Die Speicherung von Cookies ist si- 
cherlich sinnvoll, wenn es um die Erfas- 
sung von Anmeldedaten oder Sprach- 
einstellungen geht. Diese Cookies, die 
technisch erforderlich sind, werden 
auch First-Party-Cookies genannt. Das 
gilt zum Beispiel auch für Cookies, die 
Websitebetreiber speichern, um den Be- 
trieb sicherzustellen oder um Attacken 
nachverfolgen zu können. 

Anders sieht das bei Third-Party-Coo- 
kies aus. Hier kommen Drittanbieter ins 
Spiel, über deren Aktivitäten die User 
informiert werden müssen. Diese Dritt- 
anbieter verfolgen eigene Interessen 
und wollen zum Beispiel Werbung bei 
dem User platzieren. 

Mit Cookies - und auch anderen Tools 
- können Nutzer getrackt werden.’ 
Tracking nenne ich auch ganz gerne da- 
tenanalytisches Stalking. Manchmal fin- 


det man anstelle von Tracking auch die 
Begriffe Customer Journey, Targeting, 
Retargeting oder auch Web-Analyse. 

Zahorsky: Einer YouGov-Umfrage 
vom Mai 2020 zufolge lesen sich gut 40 
Prozent der Befragten die Hinweise eh 
nicht durch, sondern klicken einfach 
auf „Okay“ oder „Cookies akzeptieren”. 
12 Prozent verlassen die Seite direkt 
wieder. Warum ist der Cookie-Consent 
so kompliziert gestaltet? Für den User 
ist das doch sehr nervig. 

Neumann: Ja Frau Zahorsky, da ha- 
ben Sie ein wirklich gutes Beispiel er- 
wischt, wie man aus einer guten Sache 
eine schlechte machen kann. Der EuGH 
hat am 01.10.2019 in einem Urteil‘ 
festgelegt, dass Tracking-Cookies, also 
Tools, die ein Individuum „aufspüren” 
können, nur dann verwendet werden 
dürfen, wenn dazu eine freiwillige, in- 
formierte und aktive Einwilligung vor- 
liegt. Bei Gesundheitsdaten z. B. muss 
sie zudem in schriftlicher Form vor- 
liegen. Eine Einwilligung ist eine von 
den drei Rechtsgrundlagen des Art. 6 
DSGVO, die bei diesem Thema zur An- 
wendung kommen können. Sollte je- 
doch ein Vertrag geschlossen werden, 
dann ist das nicht erforderlich und auch 
nicht, wenn ein berechtigtes Interesse 
vorliegt. Das sind die beiden anderen 
gängigen Rechtsgrundlagen. 

Diese Einwilligungen müssen über ein 
Consent-Banner eingeholt werden, be- 
vor eine Website besucht werden kann. 
Ich sage deshalb nicht Cookie-Banner, 
weil nicht nur Cookies als Tracking Inst- 
rumente eingesetzt werden. Jetzt könn- 
te man diese Banner schlicht gestalten 
und einen Button für eine Bestätigung 
und einen für eine Ablehnung bereit 
halten. Doch letzterer wird in der Regel 
durch einen Button „Einstellungen“ er- 
setzt. Dort wird eine Liste mit Cookies 
aufgeführt, die gesetzeskonform deak- 
tiviert sind. 

Unter „Einstellungen“ oder „Informa- 
tionen” ist aber auch ein Button mit der 
Aufschrift „berechtige Interessen” zu 
finden. Und dort wiederum sind mehr 
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oder weniger lange Listen von Cookies 
aufgeführt, die bereits aktiviert sind 
und für eine Ablehnung deaktiviert 
werden müssen - manchmal einzeln, 
manchmal als Gesamtpaket. Und eini- 
ge Websites bieten trotz Ablehnungen 
keine Speichermöglichkeit, sondern 
man muss alle Cookies dann doch noch 
akzeptieren, wenn man die Websites be- 
suchen will. Es ist also nicht der Daten- 
schutz, der das Leben schwierig macht, 
sondern oft genug dessen technische 
Umsetzung. 

Zahorsky: Und was hat es mit der 
Entscheidung der belgischen Daten- 
schutzbehörde APD auf sich, die be- 
sagt, dass ein zentraler Mechanismus 
für Cookie-Banner gegen die europä- 
ische Datenschutz-Grundverordnung 
DSGVO verstößt? 

Neumann: Die belgische Daten- 
schutzaufsichtt hat gleich mehrere 
Punkte kritisiert. Der Verband für di- 
gitales Marketing und Werbung IAB 
Europe hat ein Instrument für das Ein- 
holen von Einwilligungen entwickelt, 
das Transparency & Consent Framework 
(TCF). Dieses vielgenutzte Tool wurde 
am 02.02.2022 von den Belgiern als da- 
tenschutzwidrig eingestuft und mit ei- 
nem Bußgeld in Höhe von 250.000 Euro 
belegt. 

Gründe dafür waren unter anderem 
die fehlende Rechtsgrundlage für die 
Einwilligungen, fehlende transparente 
Informationen zur Verarbeitung und 
die mangelnden Möglichkeiten zur 
Wahrnehmung von Betroffenenrech- 
ten. Zudem meint die Datenschutz- 
aufsicht, dass IAB Europe auch für die 
Verarbeitung mitverantwortlich ist und 
keinen Datenschutzbeauftragten be- 
nannt hat. 

Zahorsky: Mal angenommen, man 
willigt in alle Cookies ein: Welche Daten 
sammeln die dann? 

Neumann: Oh je, dem Sammeltrieb 
sind praktisch keine Grenzen gesetzt. 
Von Interesse sind zum Beispiel Geräte- 
informationen wie Modell, Betriebssys- 
tem, Version, Browser oder Seriennum- 
mer bei Mobiltelefonen auch die IMEI, 
die eindeutige Gerätenummer. Neben 
Namen, persönlichen Daten und Stand- 
ortsind auch Hobbys, Interessenlagen, 
Reisewünsche und -verhalten, Kaufob- 
jekte, Preisniveaus, Zahlungsmodalitä- 
ten und viele andere Punkte von Inter- 
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esse für die Werbeindustrie. Besonders 
interessant sind die Daten, wenn sie zu 
Profilen geformt werden können. Aber 
wer möchte schon, dass seine schlech- 
ten Blutdruckwerte aus der Health-App 
in der App seiner Krankenkasse gespei- 
chert werden? In der Literatur? finden 
sich viele Beispiele, wo getrackte, aber 
auch frei abgegebene Informationen in 
Kombination mit anderen Informati- 
onsquellen zu Nachteilen von Betroffe- 
nen führen. 

Zahorsky: Ziel der Datensammelei ist 
ja dann die personalisierte Werbung. 
Können Sie kurz erklären, wie das funk- 
tioniert? 

Neumann: Hier können wir wieder 
auf das TCF von IAB Europe zurück- 
kommen. In dem Augenblick, in dem 
User vor dem Besuch einer Website den 
Consent-Banner positiv bestätigen, wird 
ein Datenprofil des Nutzers an eine gro- 
ße Anzahl Unternehmen gesendet. Die 
Kriterien wie Kaufkraft und andere wer- 
den in Profilen zusammengestellt, nach 
denen Zielgruppen für Werbeanzeigen 
gebildet werden. Das Ganze geschieht 
in Bruchteilen von Sekunden. Werbe- 
treibende blenden dann Anzeigen in die 
Apps oder in die Seiten der Suchmaschi- 
nen ein. Diese Anzeigen sollen dann - so 
der Anspruch des TCF - ganz auf die Be- 
dürfnisse und Wünsche der User ausge- 
richtet sein. 

Zahorsky: Abgesehen davon, dass 
die meisten User sich von Online-Wer- 
bung genervt fühlen: Was ist denn jetzt 
aber an personalisierter Werbung so 
schlecht? Werbung wird ja sowieso aus- 
gespielt. Warum dann nicht eine, die 
mir unter Umständen ein für mich inter- 
essantes Produkt vorstellt? 

Neumann: Ich möchte von Werbung 
nicht erschlagen werden, und die an- 
deren User auch nicht. Natürlich ist es 
nicht schlecht, wenn ich zwei, drei Rei- 
sebüros anrufe und dort um Infos für 
mein Reiseziel bitte. Ich käme allerdings 
nicht auf die Idee in der Tageszeitung 
einen diesbezüglichen Aufruf zu star- 
ten. Ich will, dass nur ganz bestimmte, 
von mir ausgesuchte Anbieter meine 
Daten bekommen und letztendlich auch 
sichergehen, dass meine Daten nicht in 
falsche Hände geraten. Übrigens hat ein 
Kollege kürzlich sehr viel Werbung für 
ein Produkt erhalten, das er kurz zuvor 
gekauft hatte. 


Zahorsky: Und wie kann man sich vor 
der Datenerhebung schützen? Welche 
Tipps haben Sie für unsere Hörer? 

Neumann: Da gibt es eine Reihe von 
Maßnahmen, die man ergreifen kann, 
die aber dann auch ein wenig Arbeit ver- 
ursachen können. An den Endgeräten, 
also am Rechner, Laptop oder Handy, 
können die User das Setzen der Cookies 
schon im Browser unterbinden. Die gän- 
gigen Browser bieten zudem Add-ons, 
also Browser-Erweiterungen, die das Tra- 
cken blockieren. Auch bei der Auswahl 
von Suchmaschinen sollte man schon 
Vorsicht walten lassen. Dann sollten alle 
Nutzer ihre Suchverläufe löschen, insbe- 
sondere dann, wenn das Endgerät auch 
von anderen Personen genutzt wird. 

Auch sollte man sich überlegen, ob 
man nicht auf die heute etablierten und 
extrem aufmerksamkeitsheischenden 
Social-Media-Tools ganz verzichtet und 
zum Beispiel auf Mastodon oder ande- 
re Dienste aus dem Fediverse® zugreift. 
Nuudle’ nur als Beispiel ist ein nicht- 
trackendes Termintool, mit dem man 
sehr bequem arbeiten kann. 

Es gibt zudem viele hilfreiche Quel- 
len, bei denen man wertvolle Tipps be- 
kommt. Ich denke da an Digitalcoura- 
ge?, an den Blog von Mike Kuketz? oder 
auch an ethical.net?‘, wo ein sehr üppi- 
ges Arsenal von Programmen, Apps und 
Diensten vorgestellt wird. 


1 https://www.it-business.de/podcast/ 


2 https://dr-dsgvo.de/cookies-sind- 
keine-textdateien/ 


3 Benedikt, Kristin; Buckel, Alexander; 
Mammen, Jan-Hendrik: Web-Tracking 
nach DSGVO, 1. Aufl. 2019, Amazon 
(Selbstverlag), S. 11 


4 https://curia.europa.eu/juris/document/ 
document.jsf;jsessionid=D5DC4CA415 
C605B28E70747FD3C5158C?text=&doc 
id=218462&pagelndex=0&doclang=DE 
&modesreg&dir=&occ=first&part=1&c 
id=1458627 


5 Beispiel: Nocun, Katharina: Die Daten, 
die ich rief; Köln 2018 


6 https://www.medienpaedagogik-praxis. 
de/2022/05/03/gelingt-mastodon-und- 
dem-fediverse-nun-der-durchbruch/ 


7 https://nuudel.digitalcourage.de/ 
8 https://digitalcourage.de/ 

9 https://www.kuketz-blog.de/ 

10 https://ethical.net/resources/ 
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K.P. (Name der Redaktion bekannt) 


Warum ich Facebook und Co. nutze ... 


Weil es heutzutage nicht ohne geht, wenn man am Ball bleiben will. 


Ich gehöre zur älteren Generation 
und nutze Facebook und WhatsApp, al- 
lerdings durchaus unter kritischer Be- 
trachtung. Mir ist immer bewusst, dass 
ich durch die Nutzung „ausspioniert” 
werden kann. Markenartikler nutzen 
Social Media, um potenzielle Kunden 
mit Werbung zu versorgen. 

Beispiel: Ich suche bei Google irgend- 
ein Produkt und ich kann sicher sein, 
dass ich die nächsten vier Wochen Wer- 
bung für dieses Produkt auf Facebook 
erhalte. Schlimmer noch, auch ähnliche 
Produkte, die vielleicht für mich von In- 
teresse sein könnten, werden mir ange- 
zeigt. Das finde ich extrem nervig, aber 
ich nehme es in Kauf und mich beein- 
flusst das auch nicht in meinem Kauf- 
verhalten. 

Diese Werbeform wird heute von vie- 
len Firmen genutzt, weil sie funktio- 
niert. In keinem Medium kann man so 


Thilo Weichert 


zielgruppengenau werben, wie auf den 
Social-Media-Kanälen. 

Dennoch ist es für mich inzwischen 
undenkbar ohne Facebook und Co. zu 
leben. Ich nutze die Plattform sehr 
gerne, um Leute ausfindig zu machen, 
ehemalige Schulfreunde z.B., oder um 
Erfahrungen in bestimmten Lebenssitu- 
ationen in Interessensgruppen auszu- 
tauschen. 

Politische Meinungen versuche ich 
auf Facebook nicht zu teilen, da mir 
dann oftmals der Umgang damit nicht 
gefällt. Leider gibt es heute ja Men- 
schen, die in der Anonymität des Netz- 
tes der Meinung sind, sie können jeden 
Bullshit äußern. Da habe ich echte Pro- 
bleme mit und möchte mich mit solchen 
Leuten nicht auseinandersetzen. Dis- 
kussionen in dieser Richtung führe ich 
nach wie vor lieber am Küchentisch oder 
in geselliger Runde in einer Kneipe. 


Betroffen von Datenschutzverstößen 


Identitätsklau, Werbe-Cookies ohne 
Einwilligung, Abgreifen von Fotos im 
Internet, Diffamierung in sog. sozialen 
Netzwerken, Gesundheitsdaten in der 
Personalverwaltung, fremde Videoüber- 
wachung im eigenen Garten ... Werden 
derartige, oft im Verborgenen prakti- 
zierte Verstöße gegen den Datenschutz 
den Betroffenen bekannt, stellt sich für 
diese die Frage: „Was kann ich dagegen 
tun?“ Diese einfache Frage stößt auf 
eine komplexe Realität: Unklar ist oft, 
welche Technik genutzt wird, wer den 
Angriff veranlasst hat und wer dafür 
verantwortlich ist, wer hiergegen wirk- 
sam vorgehen könnte und tatsächlich 
kann, welche Möglichkeiten rechtlich 
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und welche realistischerweise beste- 
hen. 

Vorneweg: Deutschland und die Mit- 
gliedsstaaten der Europäischen Union 
(EU) sind demokratische Rechtsstaa- 
ten, die Grundrechte gewährleisten. 
Es gilt das in Art. 8 der europäischen 
Grundrechte-Charta garantierte Recht 
auf Datenschutz. Es gilt zudem die euro- 
päische Datenschutz-Grundverordnung 
(DSGVO), die eine Vielzahl von sog. Be- 
troffenenrechten regelt: allen voran das 
Recht auf Auskunft (Art. 15 DSGVO), zu- 
dem ein Recht auf Löschung, sogar „auf 
Vergessenwerden” (Art. 17 DSGVO), ein 
Recht auf Datenberichtigung (Art. 16 
DSGVO), ein Recht auf Datensperrung 


Hier ist die Politik meiner Meinung 
nach gefordert Facebook und Co. dazu 
zu verpflichten, dass Hasskommentare 
sofort gelöscht werden und die Verfas- 
ser gesperrt werden. Aber soweit ich es 
mitbekommen habe, passiert da ja jetzt 
auch was. 

WhatsApp nutze ich für die schnelle 
Kommunikation mit der Familie bzw. 
mit Freunden (Ich verspäte mich etc.). 
Möchte ich auch nicht mehr drauf ver- 
zichten, aber auch hier habe ich für 
mich Regeln aufgestellt, was den Um- 
gang angeht. 

Jeder, der im Internet unterwegs ist, 
muss sich darüber klar sein, dass seine 
Daten genutzt werden. Datenschutz ist 
sehr wichtig, aber ich habe es auch ein 
Stück weit selbst in der Hand, was ich 
von mir preisgebe. In diesem Bewusst- 
sein macht es mir Spaß, auf Social-Me- 
dia-Kanälen unterwegs zu sein. 


- Was ttun? 


oder wie esin Art. 18 DSGVO heißt: „auf 
Einschränkung der Verarbeitung”. Be- 
troffene müssen über die sie betreffende 
Datenverarbeitung informiert werden 
(Art. 13, 14 DSGVO). Sie können mit per- 
sönlichen Gründen einer Datenverarbei- 
tung widersprechen (Art. 21 DSGVO). Im 
Fall eines Verstoßes haben sie einen An- 
spruch auf Entschädigung, auf materi- 
ellen oder immateriellen Schadenersatz 
(Art.82 DSGVO). Zivilrechtlich bestehen 
Ansprüche auf Unterlassung und Besei- 
tigung von unzulässigen informationel- 
len Angriffen (8 823 i.V.m. & 1004 BGB 
analog). Und um das alles durchzuset- 
zen, garantiert die DSGVO ein Recht auf 
Beschwerde bei einer Aufsichtsbehörde 
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(Art. 77), ein Recht auf wirksamen ge- 
richtlichen Rechtsschutz gegen Ver- 
antwortliche oder Auftragsverarbeiter 
(Art. 79) und sogar ein Recht auf wirk- 
samen gerichtlichen Rechtsbehelf ge- 
gen eine Aufsichtsbehörde (Art. 78). 

Das hört sich alles gut an. In der Reali- 
tät kann sich aber schnell Ernüchterung 
einstellen, wenn von den gesetzlichen 
Versprechungen in Wirklichkeit wenig 
und manchmal gar nichts übrig bleibt. 
Dass Gesetze nicht zu 100 Prozent 
durchgesetzt werden, ist in einem frei- 
heitlichen Staat normal: Es gibt nicht 
nur gesetzestreue Bürgerinnen und 
Bürger und erst recht nicht nur geset- 
zestreue Unternehmen. Und die totale 
Durchsetzung von Gesetzen würde eine 
Totalkontrolle nötig machen. Deshalb 
sind Abstriche bei den Erwartungen an 
die gesetzliche Ordnung zu machen. Da- 
bei wäre es aber wünschenswert, dass 
schwere Verletzung eher schneller und 
nachhaltiger verfolgt und sanktioniert 
werden als unbedeutende Datenschutz- 
verstöße. 

Doch auch das ist nicht Realität: Es 
ist oft gerade umgekehrt. Einige Grün- 
de dafür liegen auf der Hand: Die zu- 
ständigen Aufsichtsbehörden sind zu 
schlecht ausgestattet und haben zu 
viel zu tun. Das Bewusstsein über die 
Notwendigkeiten beim Datenschutz 
fehlt bei Vielen. Und dann gibt es viele 
Menschen, die vom Datenschutz nichts 
halten und sich deshalb auch nicht 
veranlasst sehen sich an die Gesetze 
zu halten. Es gibt noch einen weiteren 
Grund für die Vollzugsdefizite beim Da- 
tenschutz: Für viele Unternehmen ist 
es profitabel unter Missachtung des Da- 
tenschutzes ihre Geschäfte zu machen; 
ihr Geschäftsmodell beruht darauf, 
dass sie unter Verletzung von Gesetzen 
Daten sammeln und nutzen und dabei 
gewaltige Profite machen, während die 
Gefahr, dafür sanktioniert zu werden, 
immer noch gering ist. 

Umso wichtiger ist es, dass Betrof- 
fene darauf Einfluss nehmen können, 
dass ihre Datenschutzrechte beach- 
tet werden. Im Folgenden werden die 
Möglichkeiten dargestellt und welche 
Erfolgschancen damit einhergehen. An- 
spruch und Wirklichkeit sind auch bei 
der Wahrnehmung der Betroffenenrech- 
te nicht identisch. Konkret geht es um 
folgende Mechanismen: 
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1. Wahrnehmung der eigenen Rechte 
direkt gegenüber dem Verantwortli- 
chen und dessen Datenschutzbeauf- 
tragten 

2. Beschwerde bei den Datenschutzauf- 
sichtsbehörden 

3. Einschaltung von Verbraucherzent- 
ralen 

4. Gang in die Öffentlichkeit. 


Bei allen o.g. Aktivitäten muss der Be- 
troffene nicht persönlich tätig werden, 
sondern kann sich durch eine andere 
Person vertreten lassen. Wenn hierbei 
Rechtswirkungen ausgelöst werden 
sollen, ist es im Fall der Vertretung, 
z.B. durch einen Anwalt, nötig, dass im 
Zweifelsfall eine wirksame Vertretungs- 
vollmacht vorgelegt wird. 


1. Geltendmachung der Betroffenen- 
rechte beim Verantwortlichen 


Es ist sinnvoll, bevor weitere Schritte 
eingeleitet werden, sich zunächst an die 
die Daten verarbeitende, also die ver- 
antwortliche Stelle zu wenden. Das ist 
die, welche die Daten erhebt und wei- 
terverarbeitet, also z.B. das Handels- 
unternehmen, der Webseitenbetreiber, 
der Arbeitgeber oder die Behörde. Oder 
es handelt sich um einen Auftragsver- 
arbeiter, der für einen Verantwortlichen 
tätig wird. Um die korrekte Adresse he- 
rauszubekommen, gibt es im Internet 
die Impressumspflicht (88 5, 6 Teleme- 
diengesetz - TMG). Dort müssen auf der 
Startseite im Web - oder zumindest mit 
einem weiteren Klick erreichbar - der 
Name, die Adresse und eine elektroni- 
sche Kontaktangabe aufgeführt werden. 
Zumeist unter der Rubrik „Datenschutz“ 
(und dort leider zumeist erst ganz am 
Ende) finden sich Kontaktangaben 
zum betrieblichen Datenschutzbeauf- 
tragten, die der Verantwortliche nach 
Art. 37 Abs. 7 DSGVO zu veröffentlichen 
verpflichtet ist. Art. 38 Abs. 4 DSGVO re- 
gelt, dass Betroffene sich zur Wahrneh- 
mung ihrer Rechte an den Datenschutz- 
beauftragten wenden können. Es gibt 
interne wie externe Datenschutzbeauf- 
tragte, also solche in der Stelle selbst, 
und solche, die selbstständig tätig sind, 
etwa Rechtsanwälte, spezialisierte Da- 
tenschutzfachleute oder -firmen. 

Man muss sich als Betroffener mit 
einer Beschwerde nicht an den Daten- 


schutzbeauftragten wenden; Adres- 
sat kann auch die Stelle generell oder 
und deren Leitung sein. Ist dort nicht 
bekannt, wie mit einer Datenschutz- 
anfrage umzugehen ist; dann liegt es 
nahe den insofern ausgebildeten Daten- 
schutzbeauftragten einzuschalten. 

Ist unklar, welche Daten bei der Stelle 
für welche Zwecke und auf Grund wel- 
cher Rechtsgrundlage verarbeitet wer- 
den, woher die Daten stammen und an 
wen sie weitergegeben werden, dann 
empfiehlt sich die Inanspruchnahme des 
Auskunftsrechts gegenüber der Stelle 
(Art. 15 DSGVO). Eine Begründung hier- 
für ist nicht nötig. Um Ausflüchte der 
Stelle zu vermeiden, ist es sinnvoll den 
Anlass des Auskunftsersuchens darzu- 
stellen. Hat der Verantwortliche Zwei- 
fel an der Identität des Betroffenen, so 
kann er deren Glaubhaftmachung ein- 
fordern. Ein bestimmtes Verfahren, z.B. 
durch Vorlage eines Personalausweises 
oder Übersendung einer Kopie, kann 
dabei nicht vorgegeben werden, doch 
sollte man sich an entsprechendes Vor- 
schlägen orientieren. 

Das Ersuchen kann analog oder digi- 
tal erfolgen und sollte eine Fristsetzung 
enthalten (z.B. zwei Wochen). Nach 
erfolglosem Ablauf der Frist sollte zeit- 
nah die Auskunftserteilung angemahnt 
werden. Erfahrungsgemäß sind erste 
Antworten hinhaltend („Bitte um etwas 
Geduld”) oder ausweichend (z.B. „alle 
Daten, die im Rahmen des Vertragsver- 
hältnisses nötig sind” oder „alle Daten, 
die Sie angegeben haben”). Solche Ant- 
worten sind ungenügend. Es muss auf 
Nachfrage präzise angegeben werden, 
welche konkreten Daten vorliegen und 
verarbeitet werden. Bleibt die Auskunft 
aus oder ist sie unzulänglich, so ist das 
ein Verstoß gegen Art. 15 DSGVO, der 
von der Aufsichtsbehörde sanktioniert 
werden kann. 

Analog zum Vorgehen zwecks Er- 
langung einer Auskunft kann bei der 
Umsetzung der anderen Betroffenen- 
rechte (Löschung, Berichtigung, Ver- 
arbeitungsbeschränkung, Widerspruch, 
Schadenersatz, Unterlassung, Beseiti- 
gung) vorgegegangen werden. 

Die Erfahrung lehrt, dass Verantwort- 
liche auf eine Betroffenenanfrage oder 
-beschwerde zunächst nicht adäquat 
und rechtskonform antworten, jeden- 
falls dann nicht, wenn sie z.B. einen 
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Rechtsverstoß verbergen wollen. In 
solchen Fällen ist es sinnvoll mit Frist- 
setzung nochmals nachzuhaken, bevor 
andere und weitere Schritte eingeleitet 
werden. Alle weiteren Maßnahmen sind 
aufwändiger, schwerfälliger und zeitin- 
tensiver. 

Statt den weiter unten noch beschrie- 
benen Vorgehensweisen besteht bei ei- 
ner unbefriedigenden (rechtswidrigen) 
Reaktion oder einer Nichtreaktion der 
angeschriebenen Stelle die Möglich- 
keit gegen den Verantwortlichen direkt 
Klage zu erheben. Bei Klagen gegen 
Privatunternehmen ist der Zivilrechts- 
weg gegeben, Klagen gegen öffentliche 
Stellen, also gegen Behörden, werden 
vor dem Verwaltungsgericht verhandelt 
(Art. 79 DSGVO). 


2. Beschwerde bei der Aufsichtsbehörde 


Gemäß Art. 77 Abs. 1 DSGVO haben 
Betroffene „unbeschadet eines ander- 
weitigen ... gerichtlichen Rechtsbe- 
helfs das Recht auf Beschwerde bei ei- 
ner Aufsichtsbehörde, insbesondere in 
dem Mitgliedstaat ihres gewöhnlichen 
Aufenthaltsorts, ihres Arbeitsplatzes 
oder des Orts des mutmaßlichen Versto- 
Res“. Ist man von einem Verstoß nicht 
persönlich betroffen, kann dennoch 
eine Beschwerde eingereicht werden. Es 
liegt dann aber im freien Ermessen der 
Datenschutzaufsichtsbehörde, ob sie 
tätig wird oder nicht. Es ist - angesichts 
der hohen Arbeitslast, die bei den meis- 
ten Aufsichtsbehörden besteht - eher 
ungewöhnlich, dass eine Aufsichtsbe- 
hörde auf eine Beschwerde von Nicht- 
betroffenen mit Ermittlungen reagiert. 
Etwas anderes gilt, wenn zum gleichen 
Thema viele Beschwerden vorliegen 
oderessich nach ihrer Ansicht um einen 
so schwerwiegenden Vorwurf handelt, 
dass sievon Amts wegen tätig wird. 

Aus Art. 77 Abs. 1 DSGVO geht hervor, 
dass die Beschwerdebei der Behörde des 
Wohnsitzes, des Arbeitsplatzes oder der 
tatsächlichen Datenverarbeitung ein- 
gereicht werden kann. Diese Behörde 
ist dann auch für die Zwischen- und die 
Endnachricht zuständig (Art. 77 Abs. 2 
DSGVO). Bearbeitet wird die Beschwerde 
aber regelmäßig ausschließlich durch 
die sog. „federführende Aufsichtsbe- 
hörde”, die für die europäische Haupt- 
niederlassung des Unternehmens (vgl. 
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Art. 4 Nr. 16 DSGVO) des Verantwortli- 
chen zuständig ist (Art. 60 DSGVO). Die- 
se federführende Behörde leitet die Er- 
mittlungen und kann sich dabei von an- 
deren Aufsichtsbehörden unterstützen 
lassen (Art. 61 DSGVO). In jedem Fall 
muss sie alle „betroffenen Aufsichtsbe- 
hörden” einbeziehen. Dies sind die Auf- 
sichtsbehörden, in deren Gebiet eine 
Niederlassung des Verantwortlichen be- 
steht oder sich erhebliche Auswirkun- 
gen der Verarbeitung zeigen, sowie die, 
bei denen eine Beschwerde eingereicht 
wurde (Art. 4 Nr. 22 DSGVO). Die feder- 
führende und alle anderen betroffenen 
Aufsichtsbehörden versuchen eine 
einheitliche Entscheidung zu treffen 
(Art. 62 DSGVO); wenn dies misslingt, 
wird im Rahmen eines komplizierten 
Verfahrens eine Mehrheitsentscheidung 
gesucht (Art. 63 ff. DSGVO). 

Der Betroffene hat also die Möglich- 
keit bei seiner Beschwerde zwischen ver- 
schiedenen Aufsichtsbehörden zu wäh- 
len. Wenn er die Sprache der federfüh- 
renden Aufsichtsbehörde im Ausland be- 
herrscht, ist es sinnvoll die Beschwerde 
direkt dort einzureichen. Ansonsten ist 
es naheliegend die Behörde am Wohnort 
oder am Arbeitsplatz zu befassen. Da die 
Kommunikation zwischen den Aufsichts- 
behörden zumeist in Englisch erfolgt, ist 
es auch möglich in dieser Sprache die 
Beschwerde einzureichen; dies ist bei 
internationalen Vorgängen bei jeder Auf- 
sichtsbehörde möglich. 

Strategische Erwägungen können 
es sinnvoll erscheinen lassen zu einem 
Sachverhalt bei verschiedenen Aufsichts- 
behörden Beschwerden zu erheben, ins- 
besondere wenn der federführenden Be- 
hörde wenig vertraut wird (was bisher mit 
berechtigten Gründen immer wieder bei 
deririschen Aufsicht der Fallist, dieeuro- 
paweit für viele internationale IT-Konzer- 
ne federführend ist, weil deren europäi- 
scher Hauptsitz in Irland liegt, siehe auch 
S. 93). Dadurch sind alle Beschwerdead- 
ressaten „betroffene Aufsichtsbehörden” 
und haben ein Mitentscheidungsrecht 
bei der abschließenden Entscheidung. 
Insbesondere bei internationalen NGO- 
Kampagnen wird immer gerne zu dem 
Mittel gegriffen möglichst viele Behörden 
einzubeziehen. Dies erhöht den Entschei- 
dungsdruck: damit geht aber auch eine 
gewisse Verkomplizierung und Verlang- 
samung des Gesamtverfahrens einher. 


In der Regel besteht in jedem EU- 
Mitgliedsland eine Aufsichtsbehörde. 
Rechtlich angegliedert an das EU-Ver- 
fahren nach der DSGVO sind einige we- 
nige weitere Staaten im Europäischen 
Wirtschaftsraum (EWR): Norwegen, Is- 
land und Liechtenstein. Die Adressen 
der europäischen Aufsichtsbehörden 
finden sich im Internet unter 

https://www.bfdi.bund.de/DE/ 
Service/Anschriften/Europa/Europa- 
node.html. 

Für Stellen der Europäischen Union 
(EU) ist der Europäische Datenschutz- 
beauftragte zuständig: 

https://edps.europa.eu/_de. 

Das einzige EU-Mitgliedsland mit ei- 
ner föderalen Struktur bei der Daten- 
schutzaufsicht ist Deutschland. Hier 
gilt insofern das Bundesdatenschutzge- 
setz (BDSG). Für öffentliche Stellen des 
Bundes ist der Bundesbeauftragte für 
den Datenschutz zuständig (8 9 Abs. 1 
BDSG), ebenso für die Telekommunika- 
tions- und Postunternehmen (829 Abs. 1 
TTIDSG, 8 42 Abs. 3 PostG) sowie in eini- 
gen sozialrechtlich dominierten Spezi- 
albereichen (z.B. Jobcenter, 8 50 Abs. 2 
SGB II, länderübergreifende Gesund- 
heitsforschung, 8 287a SGB V). Die Lan- 
desbeauftragten für den Datenschutz 
sind für die öffentlichen Stellen in den 
Ländern zuständig sowie für die nicht- 
öffentlichen Unternehmen mit dem 
Hauptsitz in den jeweiligen Bundes- 
ländern (8 40 Abs. 1 BDSG). In Bayern 
sind für den öffentlichen und den nicht- 
öffentlichen Bereich unterschiedliche 
Aufsichtsbehörden zuständig. 

Die Adressen der Aufsichtsbehörden 
in Deutschland finden sich im Internet 
unter 

https://www.bfdi.bund.de/DE/ 
Service/Anschriften/Laender/Laender- 
node.html. 

Weiter wird die Aufsichtsstruktur in 
Deutschland dadurch verkompliziert, 
dass es für die Gerichte sowie für die Kir- 
chen und die Rundfunkanstalten eigen- 
ständige Aufsichtszuständigkeiten gibt: 

https://www.bfdi.bund.de/DE/ 
Service/Anschriften/Kirchen/Kirchen- 
node.html und 

https://www.bfdi.bund.de/DE/ 
Service/Anschriften/Rundfunk/ 
Rundfunk-node.html. 

Formale und inhaltliche Vorausset- 

zungen für Datenschutzbeschwerden 
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gibt es nicht. Doch sollten einige As- 
pekte beachtet werden: Unabdingbar 
ist es, wenn man auf eine Beschwerde 
hin auch eine Antwort bzw. Reaktion 
erwartet, dass die eigenen Erreichbar- 
keitsdaten präzise benannt werden, 
also Name, Adresse, möglichst Telefon- 
nummer und E-Mail-Adresse. Fehlt es 
an den beiden letztgenannten Angaben, 
werden Rückfragen der Datenschutz- 
aufsicht erschwert. Auf welche Art die 
Beschwerde die Aufsicht erreicht, ist 
unwichtig: Post, Fax, Internetformular, 
Mail, ja theoretisch sind sogar Telefon, 
persönliche Beschwerde vor Ort oder 
SMS möglich. 

Der Bundesbeauftragte für den Da- 
tenschutz und die Informationsfreiheit 
(BfDI) stellt im Internet ein Beschwer- 
deformular zur Verfügung: 

https://formulare.bfdi.bund.de 

Entsprechendes gilt für fast alle ande- 
ren Aufsichtsbehörden. 

Es ist sinnvoll den Beschwerdegrund 
so präzise wie möglich zu benennen. Al- 
les, was zur Aufklärung einer vermeint- 
lich unzulässigen Datenverarbeitung 
bekannt ist, sollte gleich beim ersten 
Anschreiben benannt werden: Name, 
Adresse, Standortangaben des Verant- 
wortlichen oder Auftragsverarbeiters 
sind wichtig, um die Zuständigkeit fest- 
zustellen. Weiterhin ist es angebracht 
präzise Angaben zum Beschwerdegrund 
zu machen: Angaben zu Ort und Zeit, 
Umstände und - wenn bekannt - über 
technische Details. Eine juristische Ein- 
ordnung istnichtnötig, aber auch nicht 
schädlich; sie erleichtert dem Sachbe- 
arbeiter die erste Einordnung. Dieser 
hat aber insofern - davon sollte man 
ausgehen - die nötige Sachkompetenz. 
Abschließend sollte mitgeteilt werden, 
was angestrebt wird, z.B. eine Aus- 
kunftserteilung, eine Datenlöschung 
oder eine Sanktionierung. 

Das Beschwerdeverfahren bei der Da- 
tenschutzaufsicht ist für die Betroffe- 
nen kostenfrei. 

Für die weitere Bearbeitung sollte die 
Datenschutzaufsicht wissen, ob gegen- 
über dem vermeintlichen Verletzer des 
Datenschutzes der Name der Beschwer- 
de führenden Person bzw. des Betroffe- 
nen genannt werden kann. Geht es um 
einen individuellen Datenschutzver- 
stoß, so geht hieran regelmäßig kein 
Weg vorbei. Handelt es sich dagegen 
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um systematische und strukturelle 
Verletzungen des Datenschutzes, ist 
die Identität der Beschwerdeperson 
nicht von Bedeutung. Es besteht dann 
die Möglichkeit und bei Wunsch der 
Anspruch gegenüber dem Verletzer 
anonym zu bleiben. Das kann sogar 
wichtig sein, wenn es sich bei dem Ver- 
antwortlichen z.B. um den eigenen Ar- 
beitgeber handelt und man von diesem 
Ärger befürchtet, wenn der von dem 
Urheber der Datenschutzbeschwerde 
erfährt. Aber auch bei einem Arzt oder 
Krankenhaus kann die Befürchtung 
bestehen nicht mehr oder nicht so gut 
behandelt zu werden oder bei einem 
Handelsgeschäft nicht mehr bedient 
oder beliefert zu werden. Besteht man 
als Beschwerdeführer auf einer anony- 
men Bearbeitung, so darf die Aufsicht 
gegenüber dem Verantwortlichen die 
Identität des Beschwerdeführers nicht 
offenlegen. 

Auf eine Beschwerde hin erhält man 
regelmäßig zunächst eine Eingangs- 
bestätigung mit einem Aktenzeichen 
und evtl. weitere Informationen zum 
Fortgang der Untersuchung. Diese Un- 
tersuchung beschränkt sich oft darauf, 
dass die Stelle, gegen die sich die Be- 
schwerde richtet, um eine Stellung- 
nahme gebeten wird. Die Erwartung, 
dass die Behörde unangekündigt vor 
Ort eine Prüfung vornimmt, ist zumeist 
unrealistisch. Derartiges ist aber recht- 
lich möglich und geschieht in Ausnah- 
mefällen, etwa wenn es sich um einen 
gravierenden und systematischen Ver- 
stoß handeln könnte, den die Stelle - 
z.B. durch eine Datenlöschung - evtl. 
zu vertuschen versucht. Der ersten 
Stellungnahme folgt zumeist ein wei- 
terer Austausch zwischen verarbeiten- 
der Stelle und Datenschutzaufsicht, 
regelmäßig unter Einbeziehung des 
Datenschutzbeauftragten der Stelle, 
evtl. auch der IT-Administration, der 
Stellenleitung oder einer anwaltlichen 
Vertretung der Stelle. Dieser Aus- 
tausch - der nicht selten ein unergie- 
biges Ping-Pong ist, bei dem die Stelle 
abwiegelt, lügt oder gar zum Gegenan- 
griff geht - verliert sich in einigen Fäl- 
len im Nirgendwo. 

Immer wieder bleibt es dann für den 
Beschwerdeführer bei der Eingangsbe- 
stätigung: Die Aufsichtsbehörden ar- 
beiten oft am Limit und sind oft mit den 


verfügbaren Kapazitäten nicht in der 
Lage allen Beschwerden nachzugehen. 
Es ist leider auch nicht selten, dass man 
einen abwiegelnden Bescheid erhält, 
der der möglicherweise falschen Dar- 
stellung des vermeintlichen Verletzers 
ohne Weiteres Glauben schenkt. In sol- 
chen Fällen geht kein Weg daran vorbei 
falsche Behauptungen richtig zu stellen 
und - wenn möglich - mit Beweisen zu 
bekräftigen. 

Wird von der Aufsicht ein Daten- 
schutzverstoß festgestellt, so sollte 
auch eine Sanktion erfolgen. Die mög- 
lichen Sanktionen sind in Art. 58 Abs. 2 
und Art. 83 DSGVO beschrieben. Sie be- 
ginnen mit einer Verwarnung und gehen 
bis zur Untersagung des Systembetriebs 
oder bis zu einem Bußgeld in Höhe von 
4% des weltweiten Jahresumsatzes ei- 
nes Unternehmens (Art. 83 Abs. 4, 5 
DSGVO). Möglich ist zudem ein Strafan- 
trag (8 42 Abs. 2 BDSG). Die Herrschaft 
über ein aufeinen Strafantrag oder eine 
Strafanzeige ausgelöstes Ermittlungs- 
verfahren liegt nicht mehr bei der Da- 
tenschutzaufsicht, die dann nur noch 
zuliefert, sondern bei der Staatsanwalt- 
schaft. Esist auch möglich, dass die Öf- 
fentlichkeit, z.B. über eine Presseerklä- 
rung der Aufsichtsbehörde über einen 
Verstoß informiert wird. 

Im Fall von berechtigten Beschwer- 
den kann eine Bearbeitung lange, ja 
Jahre, dauern. Ob es zu einer Sanktion 
kommt, hängt von vielen Aspekten ab: 
Der Verstoß muss lückenlos nachgewie- 
sen werden können. Anwaltlich vertre- 
tene Stellen wehren sich zumeist mit 
allen rechtlichen Mitteln gegen Sankti- 
onen. Manche Aufsichtsbehörde scheut 
- schon wegen des Aufwands - die ge- 
richtliche Auseinandersetzung mit dem 
Datenschutzverletzer. 

Der Beschwerdeführer sollte jeweils 
über den Stand des Verfahrens und letzt- 
lich über das Ergebnis der Beschwerde 
einschließlich der Möglichkeit eines 
gerichtlichen Rechtsbehelfs informiert 
werden (Art. 77 Abs. 2 DSGVO). 

Der Betroffene kann gegen ihn betref- 
fende (Abschluss-)Entscheidungen der 
Aufsichtsbehörde gerichtlich vorgehen 
(Art. 78 DSGVO). Mit einer Untätigkeits- 
klage kann allenfalls erreicht werden, 
dass eine eingeschlafene Ermittlung 
wieder lebendig gemacht wird. Eine Kla- 
ge gegen einen ablehnenden Bescheid 
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der Aufsicht kann dagegen äußerst 
effektiv sein. Dabei wird nicht nur die 
Richtigkeit der Verwaltungsentschei- 
dung überprüft, sondern - inzident - ob 
ein Datenschutzverstoß vorlag. Da dies 
die verarbeitende Stelle betrifft, wird 
diese regelmäßig in solchen Verfahren 
beigeladen, so dass das Verfahren vor 
dem Verwaltungsgericht zugleich auch 
Wirkung gegenüber dem möglichen Da- 
tenschutzverletzer hat. 


3. Einschaltung des Verbraucher- 
schutzes 


Schon seit vielen Jahren besteht 
die Möglichkeit sich mit einem Daten- 
schutzanliegen auch an eine Verbrau- 
cherschutzorganisation, also z.B. eine 
Verbraucherzentrale, zu wenden und 
sich dort beraten und evtl. gar vertre- 
ten zu lassen. Zunächst stand dabei 
die Nutzung rechtswidriger allgemei- 
ner Geschäftsbedingungen (AGB) zur 
Datenverarbeitung im Vordergrund 
(83 305 ff BGB). Seit 2016 wurde eine 
Regelung im Unterlassungsklagegesetz 
(8 2 Abs. 2 Nr. 11 UKlaG) eingeführt, 
wonach Verbraucherorganisationen im 
Wege der Unterlassungsklage gegen ma- 
teriell-rechtliche Datenschutzverstö- 
ße vorgehen können. Hiervon machen 
regionale Verbraucherzentralen und 
bundesweit vor allem der Verbraucher- 
zentrale Bundesverband e.V. (vzbv = 
der Zusammenschluss der Verbraucher- 
organisationen) zunehmend Gebrauch. 
Hierbei geht es dann regelmäßig um 
schwerwiegende systematische Verstö- 
ße von großen Unternehmen mit einer 
großen Streubreite, insbesondere im 
Bereich der Internet-Wirtschaft. 

Diese Klagemöglichkeit in Form der 
Verbandsklage ist in Art. 80 Abs. 2 DS- 
GVO ausdrücklich vorgesehen. Solche 
prominenten Klagen landen immer 
wieder beim Europäischem Gerichtshof 
(EuGH), der dann europaweit geltende 
Grundsatzentscheidungen fällt. 

Die Verbraucherzentralen sind aber 
auch eine geeignete Anlaufstelle für 
Betroffene zwecks Beratung bei vermu- 
teten Datenschutzverstößen. Sie geben 
Hinweise, wie man selbst seine Rechte 
wahrnehmen kann, unterstützen hier- 
bei oder verweisen auf die Beschwer- 
demöglichkeit bei den Datenschutzauf- 
sichtsbehörden. Die Aufsichtsbehörden 
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arbeiten teilweise mit den regionalen, 
den nationalen und den europäischen 
Verbraucherorganisationen zusammen. 
Bei Klagen nach dem UKlaG werden die 
Aufsichtsbehörden oft mit eingebunden 
(8 12a UKlaG). 

Seit 2018 ist es für Verbraucher- 
schutzorganisationen auch möglich, 
für eine Vielzahl von Verletzten von Da- 
tenschutzverstößen gemäß dem Mus- 
terfeststellungsklagegesetz eine ge- 
richtliche Vorklärung von Betroffenen- 
ansprüchen durchführen zu lassen. In 
Art. 80 Abs. 1 DSGVO ist sogar vorgese- 
hen, dass Verbraucherschutzorganisa- 
tionen umfassend für Geschädigte von 
Datenschutzverstößen, etwa zwecks 
Erstreitung von Schadenersatzansprü- 
chen, gerichtlich vorgehen können. 
Die dafür nötige spezifische gesetzliche 
Grundlage besteht aber in Deutschland 
noch nicht; in der EU bereitet man der- 
zeit gerade eine solche Grundlage vor 
(DANA 1/2021, 51f.). 


4. Gang in die Öffentlichkeit 


Die schnellste Reaktion auf einen Da- 
tenschutzverstoß kann darin bestehen 
hierüber die Öffentlichkeit zu informie- 
ren. Damit wird der Verstoß zwar nicht 
abgestellt, doch kann so evtl. ein gewis- 
ser Druck auf den Datenschutzverletzer 
ausgeübt werden. Zudem besteht die 
Möglichkeit andere Betroffene zu infor- 
mieren und zu mobilisieren. Einen Ef- 
fekt hat dieser Gang in die Öffentlichkeit 
aber nur, wenn dadurch die Öffentlich- 
keit auch erreicht wird. Voraussetzung 
ist dafür, dass der Verstoß eine beson- 
dere Schwere hat und Dritte anspricht. 
Weitere Voraussetzung ist es, dass die 
Vorwürfe gut begründet sind und erläu- 
tert werden. Bei falschen Darstellungen 
läuft man Gefahr von der angegriffe- 
nen Stelle kostenpflichtig abgemahnt 
zu werden. Anwälte von angegriffenen 
Firmen haben erfahrungsgemäß keine 
Skrupel, wenn sie meinen, dass das von 
ihnen vertretene Unternehmen unbe- 
rechtigterweise angegriffen wird oder 
wenn sie glauben mit einer Unterlas- 
sungserklärung Kritiker zum Schweigen 
bringen zu können. 

Um sich rückzuversichern, ist evtl. 
die Einbindung von Nichtregierungs- 
organisationen (NGOs) sinnvoll. Doch 
auch diese werden einen Datenschutz- 


verstoß nur dann aufgreifen, wenn er 
eine grundsätzliche oder größere Be- 
deutung hat. Die NGOs können ihre Ver- 
öffentlichungskanäle nutzen, um vor al- 
lem ihre Anhänger und auch die Presse 
zu erreichen. 

Eine solche NGO ist z.B. der Digital- 
courage e.V., der jährlich schlimme 
Datenkraken mit dem BigBrotherAward 
negativ auszeichnet. Bei vor allem tech- 
nisch bedingten Datenschutzverstößen 
kann es sinnvoll sein, sich an den Cha- 
os Computer Club (CCC) zu wenden. Bei 
Verstößen durch öffentliche Stellen, 
also Behörden wie insbesondere Poli- 
zei und Nachrichtendienste, engagiert 
sich die Gesellschaft für Freiheitsrechte 
e.V. (GFF) für die Beachtung des Da- 
tenschutzrechts und organisiert bzw. 
unterstützt musterhafte Klagen vor Ge- 
richt. Unterstützung ist auch durch die 
Deutsche Vereinigung für Datenschutz 
e.V. (DVD) möglich. Über den deutsch- 
sprachigen Bereich hinausgehend en- 
gagiert sich noyb (non of your business) 
mit Sitz in Wien für den Datenschutz. 
noyb versucht auch durch gerichtliche 
Musterklagen gegen Datenkraken vor- 
zugehen. 

Eine besondere Art des Widerstands 
gegen systematische Datenschutzver- 
stöße sind über das Internet organi- 
sierte Kampagnen. Doch hier sollte man 
- wie bei allen im Internet durchge- 
führten Aktionen - darauf achten, dass 
man sich nicht vor einen falschen Kar- 
ren spannen lässt: So manche Online- 
Kampagne nutzt die Empörung über 
(vermeintliche) Datenschutzverstöße, 
um ganz andere Ziele als den digitalen 
Grundrechtsschutz zu verfolgen. 


Schlussbemerkungen 


Die Vollzugsdefizite beim Daten- 
schutz sind gewaltig. Dies ist so, seit 
es Datenschutz gibt. Mit der DSGVO 
besteht seit 2018 ein rechtlicher Rah- 
men, mit dem man sich wirksamer zur 
Wehr setzen kann. Doch für den „Nor- 
malbürger“ bleibt der Weg zur Verteidi- 
gung seines „Rechts auf informationelle 
Selbstbestimmung” schwierig, zumal es 
sich zumeist um komplexe technische 
Vorgänge handelt und die Rechtslage 
unübersichtlich ist. Dann sind Betrof- 
fene auf externe qualifizierte oder gar 
professionelle Hilfe angewiesen. Hierfür 
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gibt es gemäß der DSGVO vorrangig die 
unabhängigen Datenschutzaufsichts- 
behörden. Diese können aber auch nur 
einen bedingten Schutz gewährleisten, 
weshalb weitere Instanzen zur Wahrung 
des Datenschutzes in Betracht kommen: 
Verbraucherschützer, Nichtregierungs- 
organisationen, die Medien. Letztlich 


Heinz Alenfelder 


Bild: iStock.com/ Mr. Ilkin/ Dimple Bhati 


Eine aktuelle Studie! der australi- 
schen University of New South Wales 
stellt fest, dass Twitter-Nutzerinnen 
und -Nutzer während der Covid-19-Pan- 
demie unbeabsichtigt mehr personen- 
beziehbare Informationen preisgaben 
als vor der Pandemie. Die über 10 Mil- 
lionen untersuchten Tweets während 
der Lockdowm-Phasen in Australien, 
Indien, Großbritannien und den Ver- 
einigten Staaten beschäftigten sich im 
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geht es nicht nur um den individuellen 
Datenschutz, sondern darum, dass wir 
in einer freien, d.h. auch möglichst 
überwachungsfreien Gesellschaft le- 
ben, in der wir unsere Grundrechte und 
Freiheiten selbstbestimmt wahrnehmen 
können. Die gesellschaftliche Durchset- 
zung des Datenschutzes bleibt dabei da- 


wesentlichen mit der Unterstützung der 
Wirtschaft und der aktuellen Politik. Die 
Untersuchung zeigte, dass das Risiko 
der Identifizierung durch Ortsangaben 
oder Offenbarung sozialer Umstände in 
den Tweets stark wuchs: Teils reichten 
nur drei einzelne Tweets aus, um zuvor 
anonymisierte User zu identifizieren. 
Ungeachtet solcher Gefahren steigt 
weiterhin die Zahl der Posts auf den 
Plattformen der sozialen Netzwerke. 


von abhängig, dass viele Einzelne ihre 
Rechte in Anspruch nehmen. Es handelt 
sich hier um einen dauernden, immer 
wieder neu zu führenden Kampf, weil 
für Staat und Wirtschaft informationelle 
Fremdbestimmung von Menschen im- 
mer wieder attraktiv erscheint. 


Die Webseiten mit Empfehlungen zum 
Datenschutz bei sozialen Medien sind 
allerdings auch recht zahlreich vertre- 
ten. Dieser Beitrag soll einige dieser 
Ratgeberseiten inhaltlich umreißen, 
voneinander abgrenzen und eine erste 
Bewertung vornehmen. Die wichtigsten 
Empfehlungen werden abschließend zu- 
sammengefasst. 

Allen voran gibt das BSI „leicht um- 
setzbare Tipps, mit denen Sie das sozia- 
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le Leben im Internet einfach aBSIchern 
[sic!] können“. Erwähnt werden sichere 
Passwörter, Zwei-Faktor- Authentisie- 
rung und die Empfehlung nicht unüber- 
legt auf Links oder Buttons zu klicken. 
Dann folgen weitere Infos zum Umgang 
mit dem Mobilgerät (Vorsicht bei App- 
Installation, Sperre des Geräts). Bezüg- 
lich eines Identitätsdiebstahls wird vor 
unüberlegten Kontaktanfrage-Bestäti- 
gungen gewarnt und der Privatsphäre- 
Schutz allgemein angesprochen. Beson- 
ders fällt auf, dass das BSI beim Löschen 
des Accounts darauf hinweist zunächst 
„bei Bedarf [...] Daten außerhalb des 
Netzwerkes” zu sichern und dann erst 
im Account zu löschen. Abschließend 
wird auf eine Übersicht der technischen 
Einstellungen für die „beliebtesten 
Plattformen wie Facebook, WhatsApp, 
Instagram und Twitter” verwiesen. An 
anderer Stelle’, auf die auch die Websei- 
te des Bundesbeauftragten für den Da- 
tenschutz und die Informationsfreiheit 
verweist‘, sind drei Ratschläge nochmal 
einfacher aufbereitet: „Auf persönliche 
Informationen achten”, „Sichere Pass- 
wörter verwenden” und „Zwei-Faktor- 
Authentisierung verwenden”. Warum 
dies als „Frühjahrsputz im Internet” 
bezeichnet wird, erschließt sich leider 
nicht. 

Im Virtuellen Datenschutzbüro wird 
das Thema nur kurz behandelt’, indem 
auf die drohenden Gefahren hingewie- 
sen wird. Es folgen keine weiteren kon- 
kreten Tipps und auch die Verweise auf 
Material bei einzelnen Datenschutzbe- 
auftragten führen insofern nicht weiter, 
als sich dieses vor allem an Unterneh- 
men und Behörden wendet. Allerdings 
finden sich auf den Seiten einzelner 
Landesdatenschutzbeauftragter durch- 
aus konkrete Anregungen für Verbrau- 
cherinnen und Verbraucher. In Nord- 
rhein-Westfalen‘ wird das Thema prob- 
lematisiert und dann werden acht Tipps 
gegeben, unter ihnen das Melden von 
Auffälligkeiten an das soziale Netzwerk 
und der Hinweis den Browserinhalt zu 
löschen, wenn der Netzwerkzugang von 
einem fremden Rechner aus erfolgte. 
Am Schluss erfolgt dort ein Hinweis auf 
die Verbraucherzentralen, leider ohne 
konkrete Links. Und schon 2018 gab die 
Berliner Datenschutzbeauftragte Smolt- 
czyk eine empfehlenswerte Broschüre 
„Lch suche dich. Wer bist du?” mit Tipps 
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für Jugendliche zum Datenschutz bei 
sozialen Netzwerken heraus’. Mit Skep- 
sis ist dort lediglich das Schlussfazit 
zu betrachten: „Soziale Netzwerke sind 
eine tolle Kommunikationsform und 
wenn du unsere 10 Tipps beachtest, 
schützt du mit einfachen Mitteln deine 
Privatsphäre ohne auf die Vorteile zu 
verzichten”. 

Der 2006 gegründete Verein „Deutsch- 
land sicher im Netz (DsiN)”, in dem gro- 
ße Akteure der IT Mitglied sind, hat auf 
seiner Webseite in der Rubrik „DsiN für 
Verbraucher” ebenfalls einen Artikel zu 
sozialen Netzwerken eingestellt®. Hier 
steht die Datensparsamkeit an erster 
Stelle gefolgt von der Vorsicht bei Kon- 
taktanfragen und der Beachtung der 
Rechte Anderer sowie des Kinder-/Ju- 
gendlichen-Schutzes. Die Tipps bezüg- 
lich der Logins und der Einstellungen 
sind durchaus hilfreich, insbesondere, 
da hier der Verzicht auf „Social Logins” 
hervorgehoben ist. Mit einer solchen 
Möglichkeit der vereinfachten Anmel- 
dung bei Firmen über Social-Media- 
Profile werden „auch Nutzerdaten und 
-aktivitäten an die jeweilige Social-Me- 
dia-Plattform übermittelt”. Auch wenn, 
wie Wiewiorra u.a. feststellen’, „Zweifel 
an der Sicherheit der Systeme für viele 
Konsumenten ein wichtiger Grund sind, 
sich bei Onlinediensten oder Webseiten 
nicht via Facebook, Google oder durch 
andere (soziale) Netzwerke anzumel- 
den“, hilft eine Verstärkung dieses 
Zweifels durch einen gezielten Hinweis 
sicher weiter. Vorschläge zum Prüfen 
von Einstellungen und Verknüpfungen 
zu anderen Apps runden den Beitrag 
von DsiN ab. 

Ein Blick über die Grenze geht zu- 
nächst zu der von der EU geförderten ös- 
terreichischen Initiative Saferinternet. 
at, die laut eigener Aussage „vor allem 
Kinder, Jugendliche, Eltern und Leh- 
rende beim sicheren, kompetenten und 
verantwortungsvollen Umgang mit di- 
gitalen Medien” unterstützt. Dort gibt 
es neben einer FAQ'°, die beispielsweise 
Alternativen zu WhatsApp auflistet und 
die Frage des Löschens von Profilen be- 
antwortet, auch eine Reihe von Flyern 
zu verschiedenen Plattformen (TikTok, 
Snapchat, Instagram, Youtube und Fa- 
cebook). Direkt an Kinder und Jugend- 
liche richten sich die entsprechend 
gestalteten Flyer, während die „10 


Tipps zum Thema Soziale Netzwerke für 
Kinder und Jugendliche” für die Eltern 
gedacht sind und diese beispielsweise 
auffordern: „Machen Sie sich schlau”. 
Hier wird auch dazu aufgerufen die 
Kenntnisse der Kinder wertzuschätzen. 
Der Schweizer Datenschutzbeauftragte 
erläutert ebenso die Gefahren, die bei 
der Nutzung von sozialen Netzwerken 
drohen und gibt dann zehn Empfeh- 
lungen ab!!. Diese zeigen einen inter- 
essanten weiteren Aspekt auf, wenn sie 
auffordern zu prüfen „ob Sie in einem 
Bewerbungsgespräch mit den entspre- 
chenden Daten konfrontiert werden 
möchten”. Zur Sicherheit soll deshalb 
auch regelmäßig das Internet nach dem 
eigenen Namen und möglichen Profilen 
durchsucht werden. Die abschließen- 
den Verweise auf weiterführende Infor- 
mationen sind allerdings veraltet. 

Aus der endlos scheinenden Liste der 
speziellen Datenschutz-Fachseiten sei- 
en nur einige ausgewählt. So hat die 
Seite www.datenschutz.org des VFR Ver- 
lag für Rechtsjournalismus allgemeine 
Informationen zusammengetragen”. 
Angesichts der grundsätzlichen Prob- 
lematik des Datenschutzes bei sozialen 
Medien wird dort festgestellt, dass die 
Privatsphäre-Einstellungen „das A und 
0“ sind, damit der Datenschutz bei so- 
zialen Netzwerken gewährleistet wird. 
Dafür, so wird gewarnt, sind „Selbstdis- 
ziplin und Zeitinvestment notwendig”. 
Darauf folgen Hinweise zu grundsätzli- 
chen Überlegungen vor der Anmeldung 
(pro Netzwerk eine eigene E-Mail-Adres- 
se wählen, Pseudonym nutzen, Profiltyp 
privat oder geschäftlich beachten), zu 
Einstellungen (Sichtbarkeit für Such- 
maschinen/von Kontaktdaten/der In- 
halte) sowie zu Rechten und Pflichten 
(„Bleiben Sie sozial: Nicht nur Ihre Pri- 
vatsphäre zählt”). 

Der Medienratgeber www.schau-hin. 
info, eine Initiative des Bundesfamili- 
enministeriums, Öffentlich rechtlicher 
Sender und der AOK, hebt auf seiner 
Infoseite! auch die Chancen sozialer 
Medien hervor: Posts der Jugendlichen 
können demnach „Kreativität fördern” 
und die „Auseinandersetzung mit der 
eigenen Identität, Inszenierungen und 
medialen Körperbildern” anregen. Die 
dann folgenden allgemeinen Tipps ap- 
pellieren vor allem an die Eltern, die die 
Einstellungen in den jeweiligen Netz- 
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werken restriktiv auf den Freundeskreis 
ihres Kindes beschränken sollen. Tiefer- 
gehende Analysen beziehen sich auf 
jeweils eine Plattform oder ein Thema 
(z. B. TikTok, Snapchat, medialer Kör- 
perkult) und werden durchaus konkret 
in den Ratschlägen. So werden etwa be- 
züglich Snapchat „Tipps für ein sicheres 
Einrichten” der App gegeben‘“. 

Die privacyxperts.de bezeichnen den 
Datenschutz bei sozialen Medien zumin- 
dest im Link als „umstrittenes Thema””°, 
Dann eröffnet diese Seite allerdings 
Unternehmen „das ein oder andere Hin- 
tertürchen in Sachen Social Media bzw. 
Onlinemarketing“. Für die Nutzung der 
sozialen Netzwerke gibt es im Kern nur 
den Tipp: „Generell muss eben jeder, der 
Social Media aktiv nutzen möchte, ab- 
wägen, was er/sie von sich preisgeben 
möchte“. Von „umstritten“ bleibt auf 
diese Weise nicht sonderlich viel übrig. 

Anders bei Kathrin Strauß, die als 
Datenschutzbeauftragte auf der Seite 
datenschutzexperte.de Klartext redet"‘, 
wenn sie etwa konstatiert, dass Social- 
Media-Plattformen „im Grunde nur rie- 
sige Werbemaschinen” sind. Der Text 
verweist nicht nur auf das BSI, sondern 
erwähnt auch ausdrücklich, dass Meta- 
daten von den Plattformen zur Profilbil- 
dung genutzt werden. Die Tipps reichen 
dann von Passwörtern über Privatsphä- 
re-Einstellungen bis zu Kontaktanfra- 
gen und werden zum Teil konkret: „Ma- 
chen Sie den von ihnen veröffentlichten 
Content (Postings, Storys etc.) nur für 
ausgewählte Freund:innen sichtbar”. 

Unerwarteterweise geben auch 
ganz andere Webseiten wie handicare- 
treppenlifte.at mitunter Tipps für die 
Nutzung sozialer Medien!’. Zwar be- 
schränkt sich in diesem Fall die Kritik 
auf die Erwähnung, dass alles Veröf- 
fentlichte „im Internet“ bleibt, und den 
Hinweis „Geben Sie nur die personen- 
bezogenen Daten ein, die auch wirklich 
notwendig sind“ ohne diese Notwendig- 
keit zu spezifizieren. Positiv hervorzu- 
heben ist allerdings der Schlussbereich 
der Seite, in dem über die üblichen hin- 
aus weitere interessante Seiten für Seni- 
oren erwähnt werden. 

Um überhaupt einen Überblick über 
die bereits hinterlassenen Daten zu 
bekommen lohnt sich ein Blick in die 
Empfehlung der Verbraucherzentrale 
„Facebook und Co: Finden Sie heraus, 
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was Unternehmen von Ihnen speichern” 

aus dem Jahr 2020". Hier wird konkret 

beschrieben, wie der Abruf der eigenen 

Daten bei Facebook, Instagram, Whats- 

App, Google und Twitter funktioniert. 

Auf der Webseite wird außerdem für das 

klassische Verfahren der Anfrage per 

Post ein vorformulierter Musterbrief 

bereitgestellt. Vielleicht ist das eine 

Möglichkeit mit dem oben erwähnten 

„II-Frühjahrsputz“ des BSI ganz her- 

kömmlich zu beginnen. 

Zum Abschluss dieses Artikels seien 
nun die wichtigsten Hinweise für die 
Nutzung sozialer Medien aus den Quel- 
len nochmals als konkrete Aufforderun- 
gen zusammengefasst: 

« Wählen Sie nach Möglichkeit sehr 
enge Voreinstellungen bezüglich der 
Zugriffe aufIhre Daten 

« Achten Sie auf absolute Sparsamkeit 
bezüglich Ihrer Daten 

« Verwenden Sie nach Möglichkeit ein 
Pseudonym statt Ihres Namens 

« Seien Sie vorsichtig bei der Bestäti- 
gung von Kontaktanfragen (prüfen 
Sie die Echtheit) 

« Schützen Sie auch die Rechte Anderer 
(bzgl. Bilddaten und bei Informati- 
onsweitergabe) 

« Wählen Sie für jedes Netzwerk ein an- 
deres, sicheres Passwort 

« Schränken Sie die Sichtbarkeit des 
Profils auf den Freundeskreis ein und 
schließen Sie vor allem den Zugriff 
von Suchmaschinen aus 


Darüber hinaus empfiehlt Mike Ku- 
ketz im kuketz-blog.de einige Web- 
Frontends und Apps, mit denen „da- 
tenschutzfreundlich die Inhalte“ der 
jeweiligen Plattform wenn auch nicht 
geändert, so doch abgerufen werden 
können’, 

Trotz Beachtung all dieser Tipps soll- 
ten Sie irgendwann die Datenschutzbe- 
stimmungen, Allgemeinen Geschäftsbe- 
dingungen oder Nutzungsbedingungen 
eines jeden sozialen Netzwerks auf- 
merksam lesen. Und dann könnte die 
Zeit gekommen sein, im „IT-Frühjahrs- 
putz“ den einen oder anderen Account 
wieder zu löschen. 
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Frans Valenta 


Technische Innovationen aus China 


Social-Media-Anbieter wie z. B. You- 
Tube, Vimeo, Facebook, Instagram oder 
Twitch bieten Webstreaming als Option 
an, um den Nutzer-Kanal attraktiver 
erscheinen zu lassen. Veranstaltungen, 
Aufführungen, Versammlungen und 
besondere Ereignisse können so von 
Zuschauern auf einem Telefon, Compu- 
ter oder über internetfähige TV gesehen 
werden. Hier kann meistens per Text- 
Kommentar eine Interaktion mit dem 
Publikum stattfinden. 

Für die ersten Schritte zum Video- 
Streaming ins Internet reicht ein Smart- 
phone oder Tablet aus. Wer höhere An- 
sprüche an die Bildqualität hat und mit 
mehreren zuschaltbaren Kameras oder 
anderen Signalquellen ein Publikum er- 
reichen möchte, kann dies mit Laptops 
oder Desktop-Computern und Software 
wie OBS oder mit Videoschnitt-Hardware 
bewerkstelligen. 

Wenn aber mal Impressionen eines 
Festivals im Freien in FullHD-Qualität 
eingefangen werden sollen, ist dertech- 
nische Aufwand mit einem Computer 
nicht unerheblich. 

Die chinesische Firma YoloLiv hat für 
den mobilen Einsatz eine passende Lö- 
sung entwickelt. Das YoloBox’ genannte 
Produkt besteht aus einem akkubetrie- 
benen 8-Zoll-Monitor, der per HDMI- 
Anschlüssen mit bis zu zwei Kameras 
verbunden werden kann. An einem 
USB-Anschluss kann noch eine Webcam 
hinzugefügt werden. Über das Display 
kann die gewünschte Quelle für den 
Video-Stream und zusätzlich für eine 
Videoaufzeichnung auf eine SD-Karte 
angewählt werden. Die Verbindung 
zum Internet gelingt entweder über ein 
Netzwerkkabel, per W-LAN oder über die 
SIM-Karte eines Netzanbieters im dafür 
vorgesehenen Fach. 

YoloLiv verspricht eine sehr einfache 
Bedienung. Für die Anmeldung bei You- 
Tube werden „nur die Google-Zugangs- 
daten” benötigt. Seltsam - bei anderen 
Geräten wie z. B. dem ATEM Mini von 
Blackmagic Design genügt die Angabe 
des Streamschlüssels und der Stream- 
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Per HDMI an eine Kamera angeschlossene YoloBox. Bild: Frans Valenta 


URL. Die Google-Zugangsdaten abgeben 
bedeutet möglicherweise: Zugriff von 
YoloLive auf alle bei Google gespeicher- 
ten persönlichen Daten aller registrier- 
ten Smartphones, Tablets oder Compu- 
ter. Betroffen sind dann unter anderem 
Kontakte, E-Mails, Fotos, Videos, Be- 
wegungsprofile und Passwörter. Im Ex- 
tremfall könnte YoloLiv den kompletten 
Account löschen. 

Das Betriebssystem der YoloBox ist ein 
modifiziertes, stark beschränktes An- 
droid, das den Dowmload eines Analyse- 
tools nicht zulässt. Es wäre interessant 
zu wissen, ob YoloLiv wenigstens aufeine 
OAuth-Authentifizierung zugreift, bei 
der die sensiblen Zugangsdaten nicht auf 
dem YoloLiv-Server landen sondern bei 
Google bleiben. OAuth (Open Authoriza- 
tion)? lässt zum Beispiel bei Facebook zu, 
dass Web-Anwendungen die hinterlegte 
E-Mail-Adresse abfangen und somit für 
Spam verwendet werden.’ Der Schluss- 


satz zum OAuth-Artikel bei Wikipedia 
lautet: „Eran Hammer, ein bis dahin zen- 
traler Redakteur der Spezifikation OAuth 
2.0, verließ Ende Juli 2012 das Projekt, 
weil dessen Komplexität seiner Einschät- 
zung nach von den meisten Softwareent- 
wicklern kaum noch sicher implemen- 
tierbar sei”. Eine Anfrage bei YoloLiv zu 
diesem Themenkomplex blieb bis zum 
Redaktionsschluss unbeantwortet. 

Zur datenschutzfreundlichen Nutzung 
des Geräts sollte bei Bedarf jeweils ein 
Fake-Account angelegt werden, der kei- 
nerlei persönliche Daten enthält. In den 
Datenschutzbestimmungen von YoloLiv 
heißt es: „Wenn Sie sich weigern, Ihre per- 
sönlichen Daten an YoloBox weiterzuge- 
ben, kann YoloBox Ihnen einige der Merk- 
male und Funktionen des YoloBox-Dienstes 
nichtzur Verfügung stellen. Siekönnen Ihre 
Benutzerinformationen und Einstellungen 
einsehen, aktualisieren, korrigieren oder 
löschen, indem Sie uns unter privacy@® 
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YoloBox.com kontaktieren“ und „YoloBox 
verwendet kommerziell angemessene phy- 
sische, verwaltungstechnische und techni- 
sche Sicherheitsmaßnahmen, um die In- 
tegrität und Sicherheit Ihrer persönlichen 
Daten zu bewahren. Bitte beachten Sie, 
dass keine Sicherheitsmaßnahmen perfekt 
oder unangreifbar sind. Wir können nicht 
garantieren, dass Ihre Daten nicht durch 
eine Verletzung unserer physischen, tech- 
nischen oder verwaltungstechnischen Si- 
cherheitsvorkehrungen zugänglich, offen- 
gelegt, verändert oder zerstört werden“. 

Dass die Verarbeitung der Daten nicht 
den europäischen Standards entspricht, 
zeigt diese Passage: „Benutzer, die den 
YoloBox-Dienst aus der Europäischen Uni- 
on oder anderen Nicht-US-Territorien be- 
suchen, beachten bitte, dass alle Daten, 
die Sie in den YoloBox-Dienst eingeben, 
außerhalb der Europäischen Union oder 
eines anderen Nicht-US-Territoriums über- 
tragen werden, um von YoloBox und seinen 
verbundenen Unternehmen für die hier be- 
schriebenen Zwecke verwendet zu werden. 
Da YoloBox weltweit tätig ist, können wir 
die von uns gesammelten Informationen 
außerdem an weltweite Geschäftseinhei- 
ten und Tochtergesellschaften weiterge- 
ben. Durch die Bereitstellung von Daten 
über den YoloBox-Dienst stimmen Sie hier- 
mit ausdrücklich einer solchen Übertra- 
gung Ihrer Daten in die Vereinigten Staa- 
ten oder andere Länder zu“.* 

Mit der alternativen Möglichkeit, 
Streams über ein RTMP-Protokoll zu 
verschicken, erübrigt sich die Notwen- 
digkeit Account-Zugangsdaten preis- 
zugeben. Aber ganz so einfach geht das 
nicht. Normalerweise würde man jetzt 
ein paar Eingabefelder für die notwen- 
digen Parameter erwaten. Aber YoloLiv 
weist freundlich darauf hin, dass eine 
Nachricht an die angegebene E-Mail- 
Adresse mit den Hinweisen zur Eingabe 


Default stream key (RTMP 


ZURÜCKSETZEN 


der Daten verschickt wurde. Also mal 
auf dem Rechner oder Smartphone 
nachschauen, was da übermittelt wur- 
de. Spyware? Ein Trojaner? Vielleicht ja 
nur eine Mail mit einem Script, damit 
YoloLiv an den Social-Media-Aktivitäten 
aufanderen Geräten partizipierenkann? 

Eine erzwungene Produktanmeldung 
scheint bei chinesischen Technologie- 
Erzeugnissen üblich zu sein. Auch bei der 
YoloBox ist dies mit der verpflichtenden 
Erstellung eines YoloLiv-Accounts vor der 
Geräte-Nutzung der Fall. Leider wird in 
bestimmten Zeitintervallen eine erneute 
Anmeldung verlangt - vermutlich, „umin 
Kontakt zu bleiben“. Damit ist wegen der 
Personalisierung das Verleihen oder Ver- 
mieten des Geräts praktisch ausgeschlos- 
sen.Wer will schon seine persönlichen 
(Fake-) Daten an Freunde oder Geschäfts- 
partner verraten? 

Die Kamera Osmo Pocket? der durch 
Drohnen und Gimbals für den Hobby- 
und Filmbereich bekannt gewordenen 
Firma DJI muss mithilfe der App „DJI 
Mimo“”° aktiviert werden. Ohne Aktivie- 
rung ist die Kamera nicht funktionsfä- 
hig. Fast alle negativen Bewertungen 
auf Amazon zu dieser Kamera führen 
diesen Punkt auf. Oft ist an dem An- 
droid-Smartphone kein USB-C-An- 
schluss vorhanden oder die Android- 
bzw. i0S-Version ist inkompatibel. Dann 
gibt es nur zwei Möglichkeiten: entwe- 
der das Gerät zurückschicken oder ein 
neues Smartphone kaufen. Über den 
Sinn einer Aktivierung kann spekuliert 
werden. Da diese Geräte in China ent- 
wickelt wurden und auch in China ver- 
kauft werden ist anzunehmen, dass hier 
Vorgaben der chinesischen Regierung 
umgesetzt werden zu einer weit gefass- 
ten Kontrolle aller Medien-Aktivitäten. 

Wenn der chinesischen App TikTok er- 
laubt wird auf das Fotoalbum zuzugrei- 


variabel) 


KOPIEREN 


KOPIEREN 


Für das Streamen auf YouTube wird nur ein Streamschlüssel und die Stream-URL benötigt. 
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DJI Osmo Pocket. Bild: Frans Valenta 


fen, bedeutet das, dass alle Fotos erfasst 
werden, die auf dem Handy gespeichert 
sind - und dabei sogar Gesichtszüge aller 
abgebildeten Personen per Gesichtser- 
kennung identifiziert werden. Wenn der 
App erlaubt wird, auf den Standort zuzu- 
greifen, bedeutet das, dass sie weiß, wo 
man sich aufgehalten hat.’ 

Es ist kaum anzunehmen, dass sich die 
Apps von YoloLiv oder DJI mit dem Sam- 
meln von Daten zurückhalten. Laut der 
exodus-Datenbank® zeigt die DJI-Mimo- 
App diverse Tracker und unter anderem die 
Erlaubnis für Zugriff auf den Standort, das 
Netzwerk, die Accounts auf dem Gerät, die 
Kamera, das Mikrofon und die externe SD- 
Karte. Das sind ideale Voraussetzungen für 
eine genaue Foto-, Video- und Audioana- 
lyse im Hintergrund mit der Legitimation 
zum „nach Hause telefonieren”. 


1 https://yolobox.live/products/yolobox 
2 https://de.wikipedia.org/wiki/0Auth 


3 https://www.faz.net/aktuell/technik- 
motor/digital/login-mit-facebook-kann- 
gefaehrlich-werden-12860066.html 

4 http://www.yololiv.com/site/privacy- 
policy 

5 https://www.dji.com/de/pocket-2 

6 https://www.dji.com/de/mimo 

7 https://www.welt.de/politik/ausland/ 
article203941694/Wie-China-mit-der- 


App-TikTok-Informationen-im-Netz- 
kontrolliert.html 


8 https://reports.exodus-privacy.eu.org/ 
de/reports/dji.mimo/latest/ 
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Katrin Lowitz 


Auswirkungen von zehn Jahren Newsfeed 


Über die sozialen Medien ist die Welt 
im Ukraine-Konflikt live dabei. Twitter 
ist bereits ein interstaatlicher Kom- 
munikationskanal geworden und hat 
die diplomatischen Depeschen abge- 
löst. In Krisenregionen funktionieren 
offizielle Kanäle, Zeitungen, Radio, 
Fernsehen oft nicht mehr, die sozialen 
Medien übernehmen diese Rolle. In ei- 
nem Beitrag bei Focus-Online erläutert 
Gabor Steingart die positive Rolle der 
sozialen Medien im Informationskrieg 
um die Ukraine. Dabei verkennt er aber, 
dass Krisen in das algorithmische Beu- 
teschema der sozialen Medien fallen. 
Emotionale Bilder und Videos, kurze 
knackige Texte befeuern das Klickver- 
halten und der Algorithmus spült einem 
die Ukraine-Nachrichten in die Timeli- 
ne. Eine verängstigte Welt, deren erster 
Blick morgens dem Smartphone gilt, 
um zu überprüfen, ob die Ukraine noch 
existiert, steuert den Newsfeed. Der ak- 
tuelle, dramatische, schwer verständli- 
che IPCC-Bericht über die bedrohliche 
Entwicklung der Klimakrise hat wieder 
einmal das Nachsehen. 

Obwohl über den Newsfeed und das 
Zielgruppen-Targeting schon seit Jahren 
ausführlich und kritisch berichtet wird 
und die Plattformen wiederholt aufgefor- 
dert werden nachzubessern, hat sich an 
den Grundsätzen des Algorithmus nichts 
geändert. Die darin enthaltene Zersplit- 
terung der Gesellschaft hat offline be- 
reits massive Auswirkungen. Jeder lebt 
in seiner eigenen Realität. Egal wie die 
Plattform heißt, die Struktur der Infor- 
mationssteuerung ist ähnlich. Die Aus- 
steuerung des Verhaltens erfolgt jedoch 
aufgrund der Plattformlogik (Instagram, 
schöne Bilder), Twitter (kleinster Markt- 
anteil in Deutschland, textlastig). 

Meta erläutert dies in seinen Nut- 
zungsbedingungen: 
„Kapitel 1 Von uns angebotene Dienste. 

Wir stellen dir ein personalisiertes Er- 
lebnis bereit: Dein Erlebnis auf Facebook 
unterscheidet sich von dem aller anderen: 
Angefangen bei den Beiträgen, (....). Um 
dein Erlebnis zu personalisieren, verwen- 
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den wir die uns zur Verfügung stehenden 
Daten - beispielsweise über von dir her- 
gestellte Verbindungen, Optionen und 
Einstellungen, die du wählst, und was du 
auf unseren Produkten sowie außerhalb 
dieser tust.” 

Das personalisierte Erlebnis fasst 
das Business-Modell von Meta zu einer 
Lookalike Audience für Werbetreibende 
zusammen. 

„Zur Erstellung einer Lookalike Au- 
dience sucht unser System anhand von 
Informationen wie demografische An- 
gaben, Interessen und Verhaltensweisen 
der Ausgangszielgruppe nach neuen Ziel- 
gruppen, die ähnliche Merkmale aufwei- 
sen. Wenn du eine Lookalike Audience 
einsetzt, wird deine Werbeanzeige an 
diese Zielgruppe ausgeliefert, die deinen 
Bestandskunden ähnelt.” 

Die mathematische Basis für diesen 
Erfolg lieferte Larry Page mit seiner Pa- 
tentanmeldung vom 10. Januar 1997. 
Durch Backlinks und Klickverhalten der 
Nutzer werden die Inhalte in der Goog- 
le-Suche hierarchisch sortiert. Google 
erklärt es heute so: „(...) Dazu gehören 
unter anderem die in deiner Suchan- 
frage verwendeten Wörter, die Relevanz 
und Nützlichkeit von Seiten, die Sach- 
kenntnis von Quellen sowie dein Stand- 
ort und deine Einstellungen. (....)” 

Diese Maßnahmen fühlen sich per- 
fekt an, alle Informationen werden für 
einen passend sortiert. Jeder hat seine 
ganz eigene Bibliothek, die Informati- 
onen, die einen am meisten interessie- 
ren, werden direkt präsentiert, die man 
nicht sehen möchte, werden in die hin- 
teren Regale verbannt. In einer Welt, in 
der man sich auf allgemein anerkannte 
Grundsätze und wertebasierte Regeln 
geeinigt hat, an die sich alle halten, 
großartig. 

Allerdings wird die Sortierung der In- 
formationen, jenachdem, wer hier klickt, 
zu einem gesellschaftlichen Problem. 

In einer im April 2019 von der North- 
western University durchgeführten Stu- 
die wurden die Facebook-Algorithmen 
auf auf Vorurteilen basierende Funkti- 


onsweise untersucht. Zu diesem Zweck 
wurden zwei Versuchsanordnungen für 
Wohnungsanzeigen und Stellenanzei- 
gen erstellt, ohne Einschränkungen 
für Frauen und Männer oder Kaukasier 
und People of Color. Da der Algorithmus 
die Anzeigen trotzdem auf Klickwahr- 
scheinlichkeit der einzelnen Nutzer 
ausspielt, kommt es zu einer Selbstbe- 
schränkung von Möglichkeiten. Bei- 
spielhaft klicken Kaukasier eine Anzei- 
ge, in der People of Color in einem Haus 
gezeigt werden, seltener an, wie auch 
umgekehrt (unbewusste Vorurteile „das 
ist nicht für mich!”). Wenn in der An- 
zeige keine Menschen gezeigt werden, 
ist die Klickwahrscheinlichkeit ausge- 
glichen. Die (un)bewussten Vorurteile 
im Menschen formen den Algorithmus. 
Dies lässt sich nicht verhindern, solange 
Inhalte nach dem persönlichen Nutzer- 
verhalten strukturiert sind. 

Mit der Nutzung von verhaltensba- 
siertem Targeting in Wahlkämpfen be- 
kamen die sozialen Medien eine gesell- 
schaftlich hochkritische Bedeutung. 


Soziale Medien in der Politik 


Sowohl die Ergebnisse der Wahl zum 
BREXIT als auch die US-Präsident- 
schaftswahl 2016 sorgte am Wahltag für 
Überraschungen. Durch die Intranspa- 
renz im Online-Wahlkampf bleibt der 
Einblick in den Diskurs der Andersden- 
kenden versperrt. Vor den Zeiten des 
Online-Wahlkampfes konnte man sich 
an einen Kiosk stellen und diverse Zei- 
tungen aufschlagen und erhielt eine 
Übersicht über die Stimmung des poli- 
tischen Gegners, gute Zeitungen haben 
dies sogar für die Leser aufbereitet. 

Whistleblower Christopher Wylie 
veröffentlichte am 17.03.2018 im bri- 
tischen Guardian, wie Cambridge Ana- 
lytica (CA) seine politischen Kunden 
weltweit bediente. Die Mitarbeiterin 
von CA, Brittany Kaiser, führte dies in 
ihrem Buch „die Datendiktatur” noch 
weiter aus. In der Netflix-Doku „The 
Great Hack“ von Juli 2019 kann man in 
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die Tiefen der Nutzerdatensammlung 
eintauchen. In der Doku „The Social 
Dilemma“ kann man sich vorführen las- 
sen, wie gezielt jede beliebige Werbung 
durch Facebook ausgespielt wird. 

Etliche Anhörungen, vor Ausschüssen 
des US-Kongresses und -Senats, sowie 
vor dem Britischen und dem EU-Parla- 
ment, später und nach Beteuerungen der 
Plattformbetreiber zur Besserung wurde 
von YouTube, Twitter und Facebook sehr 
viel Geld in die Content-Moderation und 
das Säubern der Inhalte gesteckt. 

Laut eigenen Angaben hat Facebook 
seit 2016 etwa 13 Milliarden Dollar in 
Technik und Personal gesteckt, um die 
Content-Moderation zu verbessern. Auch 
die Anzahl der Mitarbeiter hat sich auf 
40.000 Personen erhöht. In 2021 hat 
sich eine weitere Whistleblowerin in den 
Dienst der Allgemeinheit gestellt. Frances 
Haugen hat Tausende von internen Doku- 
menten, die FacebookFiles, über das Wall- 
street Journal veröffentlicht. In der An- 
hörung sagte sie u.a. dazu aus, dass ledig- 
lich 9% der Facebook-Nutzer in Englisch 
unterwegs sind, allerdings wird 87% des 
Budgets für Content-Moderation in eng- 
lischsprachigen Regionen ausgegeben. 
Das würde bedeuten, bei einer global an- 
gemessenen Content-Moderation müsste 
sich das Budget dafür verzehnfachen. 

In Anhörungen legte Mark Zucker- 
berg irreführend dar, dass Facebook 
90% der HateSpeech mit Artificial Intel- 
ligence aufspürt, der Rest wird von Con- 
tent-Moderatoren beseitigt. Betrachtet 
man das bezogen auf die tatsächlich 
vorhandene Hassrede im Netz, geht Fa- 
cebook in den internen Dokumenten 
von ca. 3-5% Hate Speech aus, die von 
ihrer Al überhaupt erkannt wird. 

Gerade Staaten, die keine funktionie- 
rende freie Medienlandschaft haben, 
werden alleine gelassen. Nobelpreis- 
trägerin Maria Ressa, Herausgeberin 
des Online-Magazins Rappler von den 
Philippinen, hat bereits 2016 Facebook 
gewarnt, wie politischer Wahlkampf 
mit Desinformation geführt wurde und 
Facebook ist nicht eingeschritten. Ent- 
wicklungsländer sind dem Silicon Val- 
ley einfach egal. Die Auswirkung dieser 
Missachtung erfahren wir in einer wei- 
teren politischen Destabilisierung von 
Entwicklungsländern, die eine unter- 
entwickelte freie Presse und geringe de- 
mokratisch etablierte Prozesse haben: 
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e Brasilien: Podcast von HumaneTech 
„Down the Rabbit Hole by Design mit 
Guillaume Chaslot” ehemaliger You- 
Tube Mitarbeiter u.a. über den Wahl- 
kampf per YouTube von Präsident Jair 
Bolsonaro in Brasilien 

« Myanmar: Die Rolle von Facebook bei 
der Vertreibung der Rohingya 

« Indien: Facebook durch Enthüllungen 
zu Gewaltaufrufen unter Druck 


Demokratie und Meinungsfreiheit 


Eines der bekanntesten Zitate über 
die Demokratie ist von Winston Chur- 
chill: „No one pretends that democracy 
is perfect or all-wise. Indeed, it has been 
said that democracy is the worst form of 
government except all those other forms 
that have been tried from time to time.” 

Den Sozialen Medien wird bis heute 
grundsätzlich positiv unterstellt, dass 
sie bereichernd für den Diskurs und die 
Meinungsfreiheit sind, daher wird an der 
Nutzung der Plattformen von vielen öf- 
fentlichen Einrichtungen, Medien, Uni- 
versitäten und Non-Profits festgehalten. 
Dabei sollte man gleichfalls unterstellen, 
dass alle Meinungen gleich gehört wer- 
den. Die Algorithmen der Plattformen 
steuern aber vorwiegend Text- und Bild- 
material so aus, dass die von Menschen 
geklickten „Clickbaits” häufiger in der 
Timeline der Nutzer auftauchen. Leider 
führt das nicht dazu, dass die beste In- 
formation gezeigt wird, sondern dieje- 
nige, die bei den Menschen den emoti- 
onalen Trigger anspricht. Zwei Studien 
haben das untersucht und bestätigt: 
„Emotion shapes the diffusion of mora- 
lized content in social networks” vom 26. 
Juni 2017 sowie „Out-group animosity 
drives engagement on social media” vom 
23. Juni 2021. 

Das hat weitreichende Folgen auch für 
die unter finanziellem Druck stehende 
Medienlandschaft, die sich diesen Re- 
geln anpasst und Überschrift und Teaser 
möglichst aufregend gestaltet, um ih- 
rerseits Clickbait zu erzeugen. 

Für Akteure, die mit Desinformation 
finanzielle oder politische Gewinne über 
die Plattformen anstreben, ist es umso 
einfacher sich dieser einfachen Logik zu 
bedienen. Facebook hat dabei das größ- 
te Problem, da es die größte Reichweite 
hat und für jeden, der manipulieren will, 
egal ob positiv oder negativ, Lüge oder 


Wahrheit, Konsum oder Politik, sehr at- 
traktiv ist. 

Forschung, Studien, Informationen, 
die mehr als 5 Minuten Beschäftigung 
benötigen, sind erheblich benachteiligt 
die Allgemeinheit zu erreichen. Natür- 
lich bilden sich auch in den sozialen 
Medien die Wissenschaftsblasen aus, so 
dass dies nicht wirklich wahrgenommen 
wird. 

Facebook ist „biased against facts”, 
sagt Nobelpreisgewinnerin Maria Ressa. 


Mentale Gesundheit 


Über die Auswirkungen auf die men- 
tale Gesundheit bei dem Konsum von so- 
zialen Medien wird international umfas- 
send geforscht. Spätestens mit der Ver- 
öffentlichung der internen Dokumente 
aus dem Konvolut von Frances Haugen 
liegen die Beweise aufgrund der inter- 
nen Daten von Facebook vor. Auch an- 
dere haben vorher schon umfassend auf 
die mentalen Auswirkungen nicht nur 
bei den Sozialen Medien, sondern auch 
bei Google-Anwendungen aufmerksam 
gemacht. 

Jonathan Haidt, Sozialpsychologe an 
der New York Universität, hat seine Un- 
tersuchungen zu den Auswirkungen auf 
Teenager und die Generation-Z in The 
Atlantic im April 2022 veröffentlicht: 
„Why the Past 10 Years of American Life 
Have Been Uniquely Stupid.” Vielleicht 
sind manche Länder davon geringer be- 
troffen, trotzdem hat das in einer globa- 
lisierten Welt Auswirkungen. 

Bereits 2014 hat ein ehemaliger 
Googler davon berichtet, wie die Tech- 
Industrie die Plattformen so entwirft, 
dass möglichst lange Nutzungszeiten 
entstehen und damit auch die Werbe- 
einnahmen vergrößert werden können: 
„How better tech could protect us from 
distraction” so Tristan Harris, Gründer 
der HumaneTech Community im Dezem- 
ber 2014 bei TEDx Brussels sowie „Do- 
pamine, Smartphones & You: A battle for 
your time” vom 1. Mai 2018 im Blog der 
Harvard Universität. 

All die Jahre später hat sich trotzdem 
nicht viel geändert. Insider haben aus- 
gepackt, Journalisten recherchiert, 
Datenwissenschaftler geforscht, Sozial- 
psychologen in vielen Ländern die Aus- 
wirkungen auf die mentale Gesundheit 
untersucht. Und immer noch besteht 
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die Erwartung an die Sozialen Medien, 
dass sie dieses Problem irgendwie lösen 
könnten. Trotz der Beteuerungen der 
CEOs in den Anhörungen, dass an dem 
Problem hart gearbeitet wird, sind Fa- 
cebook und Twitter weit davon entfernt 
das Problem zu lösen - und sie werden 
es mit diesem algorithmischen Modell 
nie lösen. 

Das Versprechen der Plattformbe- 
treiber, dass künstliche Intelligenz die 
Content-Moderation erfolgreich umset- 
zen kann, hat sich schon längst in hoh- 
le Phrasen aufgelöst. Nicht einmal die 
Menschen sind in der Lage Polemik, Sa- 
tire, Zynismus eindeutig in einem Text 
zuzuordnen. 

Darüber hinaus ist eine Welt, in der 
private Unternehmen mit intranspa- 
renten Algorithmen darüber entschei- 
den, welche Informationsinhalte ver- 
öffentlicht werden und welche nicht, 
höchst problematisch und nicht erstre- 
benswert. 

Trotz aller Informationen zu den ne- 
gativen Effekten dieser Plattformen, die 
darauf beruhen, dass eine kleine Min- 
derheit den Diskurs beherrscht, nutzen 
fachkundige Organisationen weiterhin 
die Sozialen Medien. Angefangen bei 
der Bundesregierung mit den Logos 
auf ihren Webseiten ist dies kostenlose 
Werbung und öffentliche Unterstützung 
dieser Dienste. Erfolg als Reichweite ist 
über diese natürlich einfach zu tracken, 
mit jedem Follower und Like gibt es wie- 
der „Dopamin-Cookies” für die Mitarbei- 
ter der Marketingabteilung. 


Was nun? 


Momentan sind gerade mal ca. 66% 
der Menschen weltweit online. Neben 
den inhaltlichen Problemen der In- 
formationsverteilung sind auch die 
Energieressourcen, die das Internet 
verbraucht, erheblich. Obwohl die Ent- 
wicklungsländer ein Recht auf Zugang 
zu den digitalen Märkten haben, halten 
wiran unserem Anspruch zum endlosen 
Streamen, Gamen und Konsumieren 
von digitalen Inhalten fest. Das Öko- 
Institut hat den Ressourcenverbauch 
unseres digitalen Lebens berechnet, 
incl. Bereitstellung der zugehörigen 
Data-Center und Geräte. 

In allen Lebensbereichen sind Redu- 
zierungen an Komfort und Konsum erfor- 
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derlich, um die Klimakrise aufzuhalten, 
warum nicht auch bei der Digitalisierung 
von Online-Angeboten? Ist das wirklich 
ein Einschnitt, wenn wir nicht mehr 
eine Flut von Bildern und Videos posten 
können? Wenn wir nicht mehr tagelang 
MMORPG (Massive Multiplayer Online 
Role-Playing Games) spielen können? 

Die EU hat neue Regelungen für die 
Digitalen Märkte und Services sowie für 
die Anwendungen von Künstlicher In- 
telligenz in Plattformen und Produkten 
ausgegeben. Um die eigentliche Frage 
„Wofür brauchen wir das Internet?” 
hat sie sich weiterhin gedrückt. In einer 
Welt mit beschränkten Ressourcen sind 
diese im digitalen Leben ebenfalls not- 
wendig. Wir müssen uns entscheiden, 
wofür wir das Internet nutzen wollen. 

Barack Obama hat in seiner Keyno- 
te am 21. April 2022 in Stanford einen 
ersten Ausblick darauf gegeben, den 
ich unterstützen kann: „The internet 
is atool. Social media is a tool. At the 
end of the day, tools don't control us. 
We control them. And we can remake 
them. It’s up to each of us to decide 
what we value and then use the tools 
we’ve been given to advance those va- 
lues.” 

Die internationale Gemeinschaft 
muss sich darauf verständigen, welche 
Inhalte in einer Gesellschaft online be- 
reitgestellt werden sollen. Wer sich mit 
den Nachhaltigkeitszielen der Vereinten 
Nationen schon einmal beschäftigt hat, 
wird feststellen, dass sie weitestgehend 
unser gesamtes Leben umfassen. Das 
wäre ein guter Anfang. 

Die verhaltensbasierte Sortierung 
von Informationen hat sich als ein gro- 
ßer Fehler erwiesen. Der Run auf eine 
neue Art der Suchmaschine ist wieder 
eröffnet. Trotzdem müssen wir uns fra- 
gen, ob wir den Aufmerksamkeitswett- 
bewerb zwischen Katzenvideos und 
Forschungsinformationen beibehalten 
wollen. 

Es ist eine vertikale und eine hori- 
zontale Struktur zur Sortierung von 
Informationen erforderlich. Wichtig ist 
dabei vor allem die Herkunft der Infor- 
mationen. Auch im Internet gilt, dass 
für Informationen der Herausgeber die 
Verantwortung übernehmen muss. Das 
hat nichts mit der Beschränkung der 
Meinungsfreiheit zu tun. Wer im ana- 
logen Leben mit seiner Meinung unter- 


wegs ist, muss sich ebenfalls einer un- 
erwünschten Reaktion stellen. 

Informationen von öffentlichen Stel- 
len oder Bildungs- und Forschungs- 
einrichtungen sollten sich nicht mit 
Desinformation von anonymen Konten 
herumschlagen müssen. Wer sich als 
Privatperson in einem Diskurs üben will, 
kann einer Organisation, einer politi- 
schen Partei oder einem Verein beitre- 
ten oder ein Ehrenamt übernehmen und 
dort sein Recht auf Meinungsfreiheit 
ausüben. 

Die menschlichen Erfahrungen in so 
einem Umfeld wiegen 10 Jahre Posten 
und Tweeten wieder auf. 


Leseliste 


Sheera Frenkel, Cecilia Kang, Inside 
Facebook: die hässliche Wahrheit 2021 


Roger McNamee, Zucked, Waking Up to 
the Facebook Catastrophe 2019 


Shoshana Zuboff, Das Zeitalter des 
Überwachungskapitalismus 2018 


Dr. Safıya Umoja Noble, Algorithms of 
Oppression: How search Engines Rein- 
force Racism 2018 


Cathy O’Neill, Angriff der Algorithmen, 
Wie sie Wahlen manipulieren, Berufs- 
chancen zerstören und unsere Gesund- 
heit gefährden 2017 


Steven Levy, Google Inside 2011 
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Klaus-Jürgen Roth 


Europa reguliert mit dem Digital Services Act 


das Internet 


I 


% 


wa 
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Die Verhandlungsführer des EU- 
Parlaments, des Ministerrats und der 
Brüsseler Kommission haben sich in der 
Nacht zum 23.04.2022 nach einer knapp 
16-stündigen Marathonrunde auf einen 
Kompromiss für den Digital Services 
Act (DSA) verständigt. Wahlweise gilt 
der DSA seinen Machern als „Goldstan- 
dard” für die Internetregulierung, Ende 
des „Wilden Westens” im Cyberspace, in 
dem sich die Tech-Giganten Amazon, 
Facebook, Google & Co. ihre eigenen 
Regeln schufen, oder gar als „digitales 
Grundgesetz” oder „Grundgesetz fürs 
Internet”. 

Kommissionspräsidentin Ursula von 


der Leyen (CDU) betonte bei der Be- 
kanntgabe des erzielten Kompromisses: 
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„Er wird dafür sorgen, dass das Online- 
Umfeld ein sicherer Raum bleibt, der 
die freie Meinungsäußerung und Mög- 
lichkeiten für digitale Unternehmen 
schützt.” Je größer die Plattform sei, 
desto größer auch die Verantwortung 
des Betreibers. 


- Anwendungsbereich 


In den Anwendungsbereich des DSA 
fallen verschiedene Online-Vermitt- 
lungsdienste. Ihre Verpflichtungen 
hängen von ihrer Rolle, ihrer Größe 
und ihrem Einfluss auf das Online-Öko- 
system ab. Vermittler nach dem Gesetz 
sind etwa Betreiber sozialer Netzwerke 
wie Meta mit Facebook und Instagram, 


+ 


Twitter und TikTok, andere Services zum 
Teilen von Inhalten wie YouTube, Such- 
maschinen wie Google, Betreiber von 
App-Stores wie Apple und Online-Markt- 
plätze wie Amazon und eBay. Erfasst 
werden ferner Vermittlungsdienste 
mit Netzinfrastruktur wie Internet-Zu- 
gangsanbieter, Domain-Registrierungs- 
stellen und Hosting-Dienste wie Cloud- 
Anbieter und Webhoster. 

Sehr große Online-Plattformen und 
sehr große Online-Suchmaschinen 
werden strengeren Anforderungen un- 
terworfen. Dabei handelt es sich um 
Services, die mehr als zehn Prozent der 
450 Millionen Verbraucher in der EU zu 
ihren Nutzern zählen beziehungsweise 
erreichen. 
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Um die Entwicklung von neu gegrün- 
deten Firmen und Startups im Binnen- 
markt zu gewährleisten, werden laut 
dem Rat „Kleinst- und Kleinunterneh- 
men” mit weniger als 45 Millionen mo- 
natlich aktiven Nutzern in der EU von 
bestimmten Vorschriften befreit. 

Alle erfassten Online-Dienste müssen 
eine Kontaktstelle beziehungsweise 
einen Rechtsvertreter in der EU benen- 
nen. Das gilt auch für Messenger-Servi- 
ces wie Telegram, mit dessen Erreichbar- 
keit sich die deutsche Politik und Justiz 
derzeit schwertut (Roth, DANA 1/2022, 
12 ff.). Niemand soll so in Europa auf 
dem Markt agieren können ohne sich an 
europäisches Recht zu halten. 


- Illegale Inhalte 


Die Verordnung verleiht laut der EU- 
Kommissionspräsidentin dem Grundsatz 
praktische Wirkung, „dass das, was off- 
line illegal ist, auch online illegal sein 
sollte”. Dies hatten zuvor auch die für 
Digitales zuständige Kommissionsvize- 
präsidentin Margrethe Vestager und die 
Berichterstatterin des EU-Parlaments, 
Christel Schaldemose von den Sozial- 
demokraten, immer wieder hervorge- 
hoben. Neu ist diese Absage an die „Un- 
abhängigkeitserklärung” für den Cyber- 
space früher Internetutopisten freilich 
nicht und eigentlich eine Binsenweis- 
heit, die im Prinzip schon immer galt. 
Der „Cyberraum” war nie völlig vogelfrei 
jenseits der physikalischen Welt. 

Der DSA sieht Maßnahmen zur Be- 
kämpfung illegaler Waren, Dienstleis- 
tungen und Inhalte im Internet vor. 
Dazu gehört ein Mechanismus, der es 
den Nutzern ermöglichen soll entspre- 
chenden Content einfach zu markieren 
und so zu melden. Plattformen können 
dabei mit „vertrauenswürdigen Markie- 
rern” („trusted flaggers”) zusammenar- 
beiten. 

Laut der zunächst in Grundzügen ge- 
troffenen Übereinkunft sollen Behörden 
aller Art künftig Host-Providern ohne 
Richtervorbehalt grenzüberschreiten- 
de Anordnungen schicken können, 
um gegen illegale Inhalte wie strafbare 
Hasskommentare, Darstellungen sexu- 
ellen Kindesmissbrauchs oder die un- 
autorisierte Nutzung urheberrechtlich 
geschützter Werke vorzugehen. Betrof- 
fene Plattformen müssen solche Ange- 
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bote dann „ohne unangemessene Ver- 
zögerung” sperren oder blockieren und 
bei schweren Straftaten zudem der Poli- 
zei melden. Maßnahmen zur Entfernung 
von Inhalten sollen nach dem Prinzip 
„Notice and Action“ funktionieren. 

Die Bestimmungen beziehen sich 
auch auf schädliche Inhalte wie Desin- 
formation. Darauf zielen vor allem Auf- 
lagen für Empfehlungssysteme ab, die 
Plattformen etwa in ihren News-Feeds 
verwenden. Mit dem DSA müssen sie die 
Funktionsweise der dafür genutzten Al- 
gorithmen in groben Zügen transparent 
machen. 

Dazu kommen neue Pflichten zur 
Rückverfolgbarkeit gewerblicher Nutzer 
auf Online-Marktplätzen. Alle Händler 
müssen identifiziert werden, während 
die Anonymität der privaten Nutzer ge- 
wahrt bleiben soll. Online-Marktplätze 
müssen Datenbanken auch Dritter 
stichprobenartig auf illegale Produkte 
abfragen und „zumutbare Anstrengun- 
gen“ unternehmen, um die Rückver- 
folgbarkeit der Händler sicherzustellen. 

Bei grenzüberschreitenden Sachver- 
halten soll mit dem Gesetz für digitale 
Dienste die Wirkung einer Anweisung 
gegen illegale Inhalte in der Regel auf 
das Hoheitsgebiet des anordnenden EU- 
Lands beschränkt werden. Die EU-Gre- 
mien wollen sicherstellen, dass Nutzern 
und den betroffenen Firmen Rechtsbe- 
helfe zur Verfügung stehen. Diese sol- 
len die Wiederherstellung von Inhalten 
einschließen, die fälschlicherweise als 
rechtswidrig angesehen und entfernt 
wurden. 

Im Kontext der „russischen Aggressi- 
onin der Ukraine und den besonderen 
Auswirkungen auf die Manipulation von 
Online-Informationen” fügten die Ver- 
handlungsführer dem Text eine Klausel 
hinzu, die einen Krisenreaktionsme- 
chanismus einführt. Dieser soll von der 
Kommission auf Empfehlung des ge- 
planten Gremiums der nationalen Koor- 
dinatoren für digitale Dienste aktiviert 
werden. Ziel ist es die Auswirkungen 
der Aktivitäten von sehr großen Platt- 
formen auf die entsprechende Krise zu 
analysieren und über „verhältnismäßige 
und wirksame Maßnahmen zu entschei- 
den, die zur Wahrung der Grundrechte 
zu ergreifen sind“. 

Das Parlament setzte sich für einen 
Artikel zum bildbasierten sexuellen 


Missbrauch auf Porno-Plattformen ein. 
Nutzer sollten Bilder, Videos oder Tex- 
te auf Erotik-Portalen wie Pornhub und 
xHamster erst hochladen dürfen, wenn 
sie beim Betreiber eine E-Mail-Adresse 
und Mobilfunknummer hinterlegt ha- 
ben. Sexarbeiterinnen waren dagegen, 
da sie um die Anonymität und den 
Datenschutz besonders verletzlicher 
Gruppen im Netz fürchteten. Laut dem 
EU-Abgeordneten (MdEP) Patrick Brey- 
er (Piratenpartei) konnte „das wahllose 
Sammeln der Handynummern” verhin- 
dert werden. 

MdEP Geese als Initiatorin des Vor- 
schlags bedauert eine Niederlage an 
diesem Punkt: „Leider bleibt der DSA an 
dieser Stelle blind. Wir haben es nicht 
geschafft wirksame Mittel zum Schutz 
vor geschlechtsspezifischer Gewalt im 
Internet zu verankern.” Es gebe letzt- 
endlich auch keine eigene Klausel, die 
gegen Racheaktionen von Ex-Partnern 
mit Nacktbildern („Revenge Porn“) oder 
gegen heimlich gemachte Aufnahmen 
etwa auf Festivals, schütze. Kommen 
wird aber etwa ein einfacher Meldeme- 
chanismus für „Rachepornos”. 

Hinsichtlich der Frage, inwieweit Mei- 
nungsfreiheit und andere Grundrechte 
tatsächlich geschützt werden, gehen 
die Ansichten auseinander. Allgemei- 
ne Geschäftsbedingungen (AGBs) und 
Gemeinschaftsstandards, die Regeln 
für die Moderation von Inhalten auf- 
stellen, müssen in Zukunft laut Artikel 
12 auf objektive und nicht-willkürliche 
Art und Weise angewendet werden. Eine 
ungleiche Behandlung gleicher Inhalte 
bei verschiedenen Nutzern wird damit 
rechtswidrig. Online-Dienste müssen 
ferner bei der Anwendung ihrer AGBs 
die Grundrechte ihrer User berücksich- 
tigen. 

Patrick Breyer monierte: „Die freie 
Meinungsäußerung im Netz wird nicht 
vor fehleranfälligen Zensurmaschinen 
(Upload-Filter), willkürlicher Plattform- 
zensur sowie grenzüberschreitenden 
Löschanordnungen aus illiberalen Mit- 
gliedsstaaten ohne Richterbeschluss 
geschützt, sodass völlig legale Berich- 
te und Informationen gelöscht wer- 
den können.” Die Privatsphäre im Netz 
werde entgegen der Position des Parla- 
ments weder durch ein Recht aufanony- 
me Internetnutzung noch durch eines 
auf Verschlüsselung oder ein Verbot von 
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Vorratsdatenspeicherung aufrechter- 
halten. Industrie- und Regierungsinter- 
essen hätten sich gegen digitale Bürger- 
rechte durchgesetzt. 

Nach dem deutlich weniger breit aus- 
gerichteten deutschen Netzdurchset- 
zungsgesetz NetzDG müssen Betreiber 
großer Plattformen für nutzergenerierte 
Inhalte bisher offensichtlich strafbare 
Beiträge, die ihnen beispielsweise User 
melden, innerhalb von 24 Stunden lö- 
schen. Die Entscheidung über komplexe 
Fälle, bei denen die potenzielle Rechts- 
widrigkeit schwer zu bewerten ist, kön- 
nen Anbieter seit zwei Jahren aber auch 
zunächst an die Freiwillige Selbstkont- 
rolle Multimedia-Diensteanbieter (FSM) 
weiterleiten. Das dort angesiedelte Ex- 
pertengremium muss sich vor allem mit 
Beleidigung und Agitation auseinander- 
setzen. Wenn die Vorschriften aus dem 
DSA spätestens Anfang 2024 greifen, ha- 
ben sie in ähnlich gelagerten Bereichen 
direkt Vorrang gegenüber dem NetzDG. 


- Transparenz und Verantwortlichkeit 


Die Bestimmungen beziehen sich 
auch auf schädliche Inhalte wie Desin- 
formation. Darauf zielen vor allem Auf- 
lagen für Empfehlungssysteme ab, die 
Plattformen etwa in ihren News-Feeds 
verwenden. Mit dem DSA müssen sie 
die Funktionsweise der dafür genutzten 
Algorithmen transparent machen. Fer- 
ner sollen sehr große Online-Portale für 
automatisierte Entscheidungen stärker 
zur Rechenschaft gezogen werden. 

Über den Umgang mit rechtswidri- 
gen und schädlichen Inhalten müssen 
Betreiber in maschinenlesbaren Trans- 
parenzberichten jährlich Rechenschaft 
ablegen. Sehr große Plattformen müs- 
sen zudem offenlegen, wie viel Perso- 
nal sie für diese Moderationstätigkei- 
ten einsetzen und wie dieses geschult 
und unterstützt wird. Alexandra Geese, 
Schattenberichterstatterin der europäi- 
schen Grünen-Fraktion, freut sich: „Das 
ist ein starker grüner Erfolg.” 

Zu den erfassten digitalen Services 
gehören Vermittlungsdienste wie In- 
ternetprovider und Domain-Registrier- 
stellen. Eingeschlossen sind also auch 
soziale Netzwerke wie Facebook, YouTu- 
be, Twitter und TikTok, E-Commerce-An- 
bieter sowie Cloud- und Webhoster. Ihre 
Pflichten variieren je nach Rolle, Größe 
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und Auswirkungen. Für kleine Unter- 
nehmen sind Ausnahmen vorgesehen. 


- Microtargeting 


Ein weiteres Kernelement des DSA 
sind aktualisierte Haftungsvorschriften 
und Regeln für personalisierte Reklame. 
Eine fraktionsübergreifende Koalition, 
Bürgerrechtler sowie Teile des Mittel- 
stands drängten insofern auf ein weit- 
gehendes Verbot von „spionierender 
Werbung” mit Microtargeting, was aber 
nicht Ergebnis des Kompromisses wur- 
de. Nutzer sollen aber eine bessere Kon- 
trolle darüber erhalten, wie ihre persön- 
lichen Daten verwendet werden. Geziel- 
te Werbung wird verboten, wenn es um 
sensible Daten geht, etwa aufgrund von 
sexueller Orientierung, Religion und 
ethnischer Zugehörigkeit. Dies bezieht 
sich auf Plattformen mit Nutzerinhal- 
ten wie Facebook, Instagram oder eBay, 
nicht aber auf Portale mit selbst erstell- 
tem Content wie Nachrichtenseiten. Für 
Minderjährige gilt „ein vollständiges 
Verbot” personalisierter Anzeigen. 

Das Prinzip des Überwachungskapita- 
lismus, wonach Plattformen umfassen- 
de Datenprofile über Personen erstellen, 
soll so etwas eingeschränkt werden. Die 
Volksvertreter wollten weitergehende 
„Do not Track“-Einstellungen im Brow- 
ser gesetzlich verankern, konnten sich 
damit aber nicht durchsetzen. 


- Gegen Dark Patterns 


Enthalten ist ferner eine Klausel ge- 
gen Design-Tricks wie „Dark Patterns”: 
Online-Plattformen und -Marktplätze 
sollen Besucher nicht dazu drängen 
ihre Dienste zu nutzen, indem sie etwa 
eine bestimmte Wahlmöglichkeit stär- 
ker in den Vordergrund stellen oder 
den Empfänger durch störende Pop-ups 
umzustimmen versuchen. Darüber hin- 
aus sollte die Kündigung eines Abonne- 
ments für einen Dienst genauso einfach 
sein wie die Anmeldung. 

Die derzeitigen nervigen Cookie-Ban- 
ner fallen nicht weg, könnten aber etwas 
„nutzerfreundlicher” werden. Derzeit 
drängen Webdesigner User mit Tricks 
wie „Dark Patterns” oftaufunfaire Art zu 
Entscheidungen. Bei Cookie-Bannern 
ist die Option für das Einwilligen etwa 
farblich deutlich unterlegt und direkt 


anklickbar, während für Opt-out mehre- 
re Klicks nötig sind. Nutzer werden auch 
wiederholt belästigt, nachdem sie ihre 
Zustimmung in Tracking verweigert ha- 
ben. Damit soll über ein Verbot im DSA 
Schluss sein: Schaltflächen müssen fair 
gestaltet sein, sodass Anwender künftig 
eine echte Wahl haben. 

MdEP Geese bedauert, dass der Text 
in der finalen Verhandlungsrunde abge- 
schwächt worden ist. Bereits von beste- 
hender Verbraucher- und Datenschutz- 
gesetzgebung abgedeckte Praktiken 
seien so nicht mehr in diesem Verbot 
enthalten. Laut Kontrolleuren muss bei 
Cookie-Bannern schon jetzt anhand der 
Datenschutz-Grundverordnung (DS- 
GVO) auch ein „Alles-ablehnen-Button” 
zum Standard werden. 

Marktplätzen wie Amazon oder eBay 
legen die EU-Gesetzgeber eine Sorgfalts- 
pflicht gegenüber den Verkäufern auf, 
die Produkte oder Dienstleistungen über 
ihre Plattformen vertreiben. Sie müssen 
insbesondere Informationen über die 
verkauften Produkte und Dienstleistun- 
gen sammeln und anzeigen, um sicher- 
zustellen, dass die Verbraucher ange- 
messen informiert werden. 


- Algorithmenkontrolle und Kenn- 
zeichnungspflicht 


Sehr große Plattformen und Suchma- 
schinen gelten als relevant für die öf- 
fentliche Meinungsbildung und so auch 
für die Demokratie. Artikel 26 verpflich- 
tet Online-Plattformen, die über 45 Mil- 
lionen EU-Bürgerinnen und -Bürger er- 
reichen, zu jährlichen Bewertungen der 
Risiken, die auf ihr Design einschließ- 
lich ihrer algorithmischen Systeme 
und ihrer Funktionsweise sowie auf 
die Nutzung ihrer Dienstleistungen für 
Grundrechte, Menschenwürde, Daten- 
schutz, Meinungs- und Medienvielfalt, 
Diskriminierungsverbot, Jugendschutz 
und Verbraucherschutz zurückgehen. 
Eventuelle negative Auswirkungen der 
Services für den öffentlichen Diskurs 
und Wahlen, für geschlechtsspezifische 
Gewalt sowie für das mentale und phy- 
sische Wohlergehen der Nutzer müssen 
von den Betreibern analysiert werden. 
Artikel 27 verpflichtet sie die identifi- 
zierten Gefahren auch zu beheben. 

Die Kommission und Vertreter der 
Mitgliedstaaten sollen auch „Zugang“ 
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zu den Algorithmen sehr großer Online- 
Plattformen haben. Wie weit dieser 
gehen soll, ist noch unklar. Veröffent- 
lichen müssen werden Facebook & Co. 
ihre einschlägigen Programmroutinen 
wohlkaum, da sie hier immer wieder Ge- 
schäftsgeheimnisse ins Feld führen. Sie 
sollen ihre Daten und Angaben zu Algo- 
rithmen mit Behörden, Forschern und 
zivilgesellschaftlichen Organisationen 
teilen, damit ihre Arbeitsweise über- 
prüft und ein Lagebild erstellt werden 
kann. Internetriesen wie Google und 
Facebook müssen auch eine öffentlich 
verfügbare Datenbank einrichten mit 
Informationen darüber, wer über ihre 
Werbenetzwerke wann mit welcher An- 
zeige angesprochen wurde. 

Im Fall von Krisen wie Kriegen und 
Pandemien, von denen eine Gefahr 
für die öffentliche Sicherheit oder die 
menschliche Gesundheit ausgeht, kann 
die Kommission sehr große Plattformen 
auffordern dringende Bedrohungen auf 
ihren Portalen zu begrenzen. Diese spe- 
zifischen Maßnahmen sind auf drei Mo- 
nate begrenzt. 

Entdeckt eine sehr große Plattform 
Deepfakes, also manipulierte Bild-, Au- 
dio- oder Videoinhalte zum täuschend 
echten Nachahmen einer Person, muss 
sie diese entsprechend kennzeichnen. 
Solche Netzwerke sollen auch ein alter- 
natives Empfehlungssystem anbieten, 
das nicht auf Profiling basiert. 


- Aufsicht, Sanktionen und Inkraft- 
treten 


Aufsichtsbehörden können Strafzah- 
lungen in Höhe von bis zu 6% des welt- 
weiten Jahresumsatzes eines Unterneh- 
mens verhängen. Auf Basis der Zahlen 
von 2021 betrüge die Höchststrafe für 
Amazon etwa bis zu 26 Milliarden Euro. 
Im Fall anhaltender Verstöße sind peri- 
odische Geldbußen in Höhe von bis zu 
6% möglich. Regulierer können auch 
einstweilige Maßnahmen anordnen und 
Firmen auf bindende Selbstverpflich- 
tungen einschwören. Sehr große Platt- 
formen sollen über Gebühren an der 
finanziellen Last ihrer eigenen Aufsicht 
nach dem Verursacherprinzip mit bis zu 
0,05% ihres weltweiten Jahresumsatz- 
beteiligt werden. 

Die Kommission wird die zentrale 
Aufsicht über die speziell für sehr gro- 
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ße Plattformen geltenden Vorschriften 
führen, um einen „Durchsetzungsstau” 
in einzelnen EU-Ländern zu verhindern. 
Die Regelung erweist sich als Arbeitsbe- 
schaffungsprogramm. Die EU suchte be- 
reits vor der endgültigen Einigung zum 
DSA IT-Experten für ihr Überwachungs- 
gremium, das mit den nationalen „Digi- 
tal Services Coordinators” zusammenar- 
beitet. Ein Fehler wie bei der DSGVO soll 
so verhindert werden, wo Irland als Fla- 
schenhals beim Verhängen von Sanktio- 
nen gilt. Der neue Mechanismus behält 
laut dem Rat das Herkunftslandprinzip 
bei, wonach das Recht des Staates gilt, 
an dem ein Unternehmen seinen Haupt- 
sitzin der EU hat. 

Die Landesmedienanstalten hatten 
zuvor gewarnt der DSA drohe „ein bü- 
rokratisches Monstrum unter staatli- 
cher Kontrolle zu kreieren”. Das Prinzip 
der Staatsferne für die Medienaufsicht 
werde nicht eingehalten und bereits 
funktionierenden Kontrollorganen die 
Arbeit erschwert, da die neue Struktur 
in zahlreichen Fällen die exekutive Ge- 
walt unmittelbar bei der Kommission 
vorsieht. Zudem bleibe unklar, welche 
grenzüberschreitenden Fälle künftig 
den umständlichen Weg über nationale 
Koordinatoren und den Koordinierungs- 
ausschuss aller 27 Mitgliedsstaaten ge- 
hen müssten. 

Nachdem das Parlament und der Rat 
ihre förmliche Zustimmung erteilt ha- 
ben, wird der DSA 20 Tage nach seiner 
Veröffentlichung im EU-Amtsblatt in 
Kraft treten. Die Vorschriften werden 
dann nach 15 Monaten - spätestens An- 
fang 2024 - direkt anwendbar sein. Eine 
nationale Umsetzung der Verordnung 
in den Mitgliedsstaaten ist nicht erfor- 
derlich. Damit werden hierzulande auch 
Teile des Netzwerkdurchsetzungsgeset- 
zes (NetzDG) ersetzt. 

Zu dem Digitalpaket der EU gehört 
auch der Digital Markets Act (DMA), der 
neue Wettbewerbsinstrumente zum Ein- 
hegen marktmächtiger Plattformen mit 
sich bringt. Über die Prinzipien dieser 
Verordnung hatten sich die EU-Gremien 
schon im März 2022 verständigt. Das 
Wettbewerbsgesetz soll verhindern, 
dass Konzerne wie Google und Facebook 
in Europa ihre Marktmacht gegenüber 
ihren Konkurrenten missbrauchen. 

Für EU-Verhältnisse war die Verab- 
schiedung des DSA und des DMA rasant 


schnell. Im Dezember 2020 waren die 
Entwürfe erstmals vorgestellt worden. 
Der von Donald Trump entfachte Sturm 
auf das US-Kapitol zeigte dann auf, wie 
gefährlich es werden kann, wenn sich 
Verschwörungstheorien im Netz aus- 
breiten. Francis Haugen machte publik, 
dass Facebook so einigesin Kauf nimmt, 
um den Profit nicht zu gefährden: Hate- 
speach, Gewalt, psychische Schäden bei 
Jugendlichen. Als glückliche Fügung 
erwies sich auch, dass zuletzt Frank- 
reich die Ratspräsidentschaft innehat- 
te. Es passte sehr gut zum Wahlkampf 
des wiedergewählten Präsidenten Em- 
manuel Macron US-Konzerne an die 
Kandare zunehmen. 


- Reaktionen 


Kommissionspräsidentin Ursula von 
der Leyen (CDU) feierte die erzielte Eini- 
gung als „historisch“. Pirat Breyer kriti- 
sierte dagegen: „Die Bezeichnung ‚digi- 
tales Grundgesetz’ verdient dasneue Re- 
gelwerk insgesamt nicht, denn der ent- 
täuschende Deal versagt vielfach beim 
Schutz unserer Grundrechte im Netz.” 
Die Privatsphäre werde weder durch ein 
Recht auf anonyme Internetnutzung 
noch durch eines auf Verschlüsselung, 
durch ein Verbot von Vorratsdatenspei- 
cherung oder ein Recht zur Ablehnung 
von Überwachungswerbung im Browser 
(Do not track) geschützt. Völlig legale 
Berichte und Informationen könnten 
gelöscht werden. Die grüne MdEP Alex- 
andra Geese beschreibt die potenziellen 
Auswirkungen des Gesetzes dagegen 
hoffnungsvoll als „Beginn eines digita- 
len Frühlings“. Für sie handelt es sich 
auch um den „ersten, entscheidenden 
Schritt zu mehr Demokratie und Freiheit 
im Netz“. 

Ex-US-Präsidentschaftskandidatin 
Hilary Clinton twitterte: „Viel zu lange 
haben Technologieplattformen Desin- 
formation und Extremismus verbreitet, 
ohne dafür zur Rechenschaft gezogen 
zu werden. Die EU ist jetzt bereit etwas 
dagegen zu tun.” Sie forderte „unsere 
transatlantischen Verbündeten” daher 
auf den DSA „über die Ziellinie zu brin- 
gen und die globale Demokratie zu stär- 
ken, bevor es zu spät ist“. Ähnlich hat- 
te sich Ex-US-Präsident Barack Obama 
geäußert und Gesetzesanpassungen in 
den USA gefordert. 
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Der Bundesminister für Digitales, 
Volker Wissing (FDP), nannte die Über- 
einkunft einen „Meilenstein“. Bundes- 
justizminister Marco Buschmann (FDP) 
freute sich: „Nun ist der Weg frei für 
einheitliche Vorgaben für soziale Netz- 
werke und andere Online-Plattformen 
in Europa.” Sie dürften Beiträge künftig 
nicht mehr willkürlich entfernen und 
müssten ihre Löschentscheidungen auf 
Antrag überprüfen. Morddrohungen, 
aggressive Beleidigungen und Aufru- 
fe zu Gewalt hätten auf den Portalen 
nichts mehr zu suchen. 

Sven Giegold (Grüne), Staatssekretär 
im Bundeswirtschaftsministerium, hob 
hervor, dass die EU mit der Verordnung 
„weltweit die schärfsten Standards für 
ein freies und demokratisches Inter- 
net” schaffe. Dies sei „nicht zuletzt vor 
dem Hintergrund des Ukraine-Kriegs 
und den damit einhergehenden Des- 
informationskampagnen” wichtig. Die 
Vorsitzende des Digitalausschusses im 
Bundestag, Tabea Rößner (Grüne), er- 
klärte: „Der DSA bietet eine Sicherheits- 
struktur gegen unrechtmäßige Inhalte 
ohne willkürlich die Meinungsfreiheit 
zu gefährden“. Kritisch bewertete sie 
die gestaffelten und komplexen neuen 
Aufsichtsstrukturen. 

Politiker von SPD, CDU und der Linken 
im EU-Parlament begrüßten die Über- 
einkunft. Der Vorsitzende der Linksfrak- 
tion, Martin Schirdewan, wies darauf 
hin, dass der Kompromiss den ursprüng- 
lichen Vorschlag der EU-Kommission 
mit Teilverboten spionierender Werbung 
„deutlich“ verbessere. Dies meinte auch 
die für Digitales zuständige Vizepräsi- 
dentin der Brüsseler Regierungsinstitu- 
tion, Margrethe Vestager, und erklärte: 
„Die Demokratie ist zurück.” 


- Mediensektor 


Das sehen Organisationen aus dem 
Mediensektor völlig anders. Der Deut- 
sche Journalisten-Verband (DJV) be- 
zeichnete den Kompromiss als „verfas- 
sungswidrig”. Der Medienverband der 
freien Presse (MVFP) und der Bundes- 
verband Digitalpublisher und Zeitungs- 
verleger (BDZV) machten die Einigung 
als „Gefahr für die Pressefreiheit und 
Meinungsvielfalt” aus. Der DJV-Bundes- 
vorsitzende Frank Überall bewertet die 
Bündelung der Zuständigkeit für die Re- 
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gulierung von Online-Inhalten auf der 
europäischen Ebene und die Schaffung 
eines festen Rechtsrahmens für große 
internationale Anbieter wie Facebook 
und Google als Gefahr und befürchtet: 
„Auf diese Weise wird die bewährte fö- 
derale Medienordnung, wie wir sie in 
Deutschland haben, mit einem Feder- 
strich abgeschafft.” 

Die Medienrequlierung ist hierzulan- 
de bislang vor allem Sache der Bundes- 
länder, während der Bund selbst bereits 
zahlreiche Vorgaben für Inhalte im In- 
ternet wie das NetzDG geschaffen hat. 
DJV-Chef Überall kann zwar nachvoll- 
ziehen, dass in Brüssel angesichts der 
russischen Propagandaaktivitäten im 
Netz Handlungsbedarf gesehen werde. 
Aber auch hier gelte: „Gut gemeint ist 
nicht gut gemacht.” 

Gegen die Zentralisierung auf EU-Ebe- 
ne sprechen aus Sicht des DJV-Vorsit- 
zenden auch die kulturellen Unterschie- 
de zwischen den Mitgliedstaaten. Äu- 
ßerungen, die in Polen als Beleidigung 
oder Schmähung aufgefasst würden, 
könnten in Deutschland womöglich als 
scharfe Form freier Meinungsäußerung 
zulässig sein und umgekehrt: „Nach 
welchen Kriterien will die EU dann ent- 
scheiden?” 

Ähnlich äußerten sich der MVFP (ehe- 
mals Verband Deutscher Zeitschriften- 
verleger) und der BDZV. Sie monieren, 
die EU verpflichte Plattformen nicht nur 
zum Löschen rechtswidriger Inhalten. 
Sie wolle „diesen auch erlauben recht- 
mäßige Veröffentlichungen zu sperren“. 
Damit bestehe die Gefahr, dass „Google 
und Facebook über Inhaltsvorgaben in 
ihren Nutzungsbedingungen auch le- 
gale journalistische und redaktionelle 
Inhalte” blockierten. Die Gatekeeper 
würden so in Teilen zu Zensoren. Auch 
die Verlegerverbände meinten: „Die fö- 
derale Medienregulierung ist ein Garant 
dafür gewesen, dass in Deutschland eine 
der vielfältigsten Medienlandschaften 
der Welt besteht. Dies darf durch euro- 
päische Vorgaben und Regulierungsbe- 
hörden nicht gefährdet werden.” 

Der Rechts- und der Kulturausschuss 
des Parlaments hatten zuvor vergeblich 
auf eine „Medienausnahme” gedrängt, 
wonach Betreiber sozialer Netzwerke 
journalistische Inhalte nicht hätten lö- 
schen dürfen. Gegner sahen in dieser 
Klausel ein Einfallstor für Desinforma- 


tion. Die allgemeine Bestimmung zum 
Schutz der Grundrechte im DSA und der 
Verweis auf das in der EU anwendba- 
re Medienrecht reichen dem MVFP und 
dem BDZV nicht. 


- Wirtschaftsverbände 


Die auf EU-Ebene gefundene Über- 
einkunft beim Digital Services Act 
(DSA) hat zugleich viele Unterstützer. 
Der Bundesverband Digitale Wirtschaft 
(BVDW) begrüßte das Gesetz für digita- 
le Dienste prinzipiell als überfällig. Der 
Kampf gegen illegale Inhalte und „Hate 
Speech” im Netz sowie der Schutz der 
Nutzer sei heute wichtiger denn je. Es 
bestehe aber auch „die Gefahr für erheb- 
liche Einschränkungen und Rechtsunsi- 
cherheiten für Unternehmen“ vor allem 
im Umgang mit Design-Tricks wie „Dark 
Patterns”. Sollten die Restriktionen hier 
für alle Firmen im Anwendungsbereichs 
desDSA gelten, „würde das der digitalen 
Wirtschaft massiv schaden”. 

Als zeitgemäß und zukunftsfähig 
bezeichnet der BVDW den Kompromiss 
beim Kinder- und Jugendschutz. Ein 
Verbot gezielter „datenbasierter Wer- 
bung“ gelte bei Minderjährigen wohl 
nur, „wenn die Betreiber von Online- 
Plattformen positive Kenntnis davon 
haben“, dass die Nutzung des Ange- 
bots durch eine Person unter 18 Jahren 
erfolgt. Unternehmen stünden damit 
nicht vor der Herausforderung selbst 
einschätzen zu müssen, „wer vor dem 
Endgerät sitzt”. 

Selbst den Bann der Verarbeitung 
sensibler Daten bei personalisierter Wer- 
bung hält der Verband für richtig, zumal 
ein solcher bereits in der Datenschutz- 
Grundverordnung (DSGVO) angelegt sei. 
Der IT-Verband Bitkom kann mit der 
Einigung an diesem Punkt ebenfalls le- 
ben: Er begrüßt, „dass personalisierte 
Werbung in sozialen Netzwerken weiter- 
hin ermöglicht wird”. Wichtig sei, dass 
der Rechtsrahmen auch in der Praxis 
funktioniere und gleichzeitig der Platt- 
formökonomie „Entfaltungsspielraum 
für Innovationen lässt”. 


- Verbraucher- und Bürgerrechtsor- 
ganisationen 


Insgesamt sei der DSA eine gute 
Nachricht für die Konsumenten, heißt 
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es beim BEUC, dem Dachverein der eu- 
ropäischen Verbraucherschutzorganisa- 
tionen. Neue Pflichten für Plattformen, 
die Legitimität ihrer Geschäftskunden 
zu überprüfen, Transparenzanforderun- 
gen und Optionen für Nutzer, den Grad 
der Personalisierung von Empfehlungs- 
systemen zu wählen, seien genauso 
begrüßenswert wie die Gewährleistung 
wirksamer Rechtsmittel. Bedauerlich 
sei, dass das Gesetz „nicht die gesam- 
te Bandbreite an Maßnahmen zur Be- 
kämpfung illegaler Aktivitäten auf On- 
line-Marktplätzen enthält“. Es fehlten 
Haftungs- und Schadenersatzpflichten, 
wenn Kunden etwa ein „unsicheres Pro- 
dukt” angedreht bekämen. 

Für Amnesty International stellt der 
DSA „einen Wendepunkt in der Ge- 
schichte der Internetregulierung dar”. 
Big-Tech-Plattformen wie Facebook 
und Instagram sowie YouTube müssten 
damit erstmals „systemische Risiken” 
ihrer Dienste wie die Befürwortung von 
Hass und die Verbreitung von Desinfor- 
mation bewerten und bewältigen sowie 
die Blackbox ihrer Algorithmen öffnen. 
Die Gesetzgeber hätten aber die Chance 
verpasst „alle invasiven, auf Überwa- 
chung basierenden Werbepraktiken” 
abzuschaffen, „um die Rechte der Men- 
schen auf Privatsphäre, Datenschutz 
und Nichtdiskriminierung wirklich zu 
wahren“. Der Erfolg hänge nun von ei- 
ner „rigorosen“ Durchsetzung ab. 

Die Bürgerrechtsorganisation Euro- 
pean Digital Rights (EDRi) äußerte sich 
ähnlich und sprach von einem „ersten 
Schritt in die richtige Richtung”. Etwa 
beim Vorgehen gegen Dark Patterns 
wäre mehr drin gewesen. 
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- Wissenschaft 


Schon im Sommer 2021 bei derVorlage 
des Entwurfes hatte die US-Wirtschafts- 
wissenschaftlerin Shoshana Zuboff, die 
den Begriff des „Überwachungskapita- 
lismus” prägte, geschrieben: „Freunde, 
schaut alle auf das Europaparlament.” 
Der Stuttgarter Medienrechtler Tobias 
Kerber bewertet das Paket aus DSA und 
DMA als „einen neuen globalen Standard 
zur Regulierung der Digitalwirtschaft”: 
„Die als Verordnung konzipierten und 
daher unmittelbar anwendbaren Vorga- 
ben stellen das rechtliche Betriebssys- 
tem für digitale Dienste auf eine gänz- 
lich neue Version um.” Kerber lobt, dass 
Facebook, Google, Amazon & Co. mit 
dem DSA die „Vorgänge in ihren Maschi- 
nenräumen” transparenter und nach- 
vollziehbarer gestalten müssten. Zudem 
werde mit den Schranken für Dark Pat- 
terns „neben dem insoweit defizitär auf- 
gestellten Datenschutzrecht” jetzt eine 
Regel etabliert, die es den großen Un- 
ternehmen zumindest schwerer machen 
solle Nutzer zu übervorteilen. 

Als „hochbrisant” schätzt der Profes- 
sor dagegen den auf den letzten Metern 
eingefügten Mechanismus zur Reaktion 
auf Krisen ein. Dieser werde es unter 
Umständen erlauben im Falle eines Not- 
stands „erhebliche Eingriffe in die Mei- 
nungs- und Informationsfreiheit zuzu- 
lassen”. So dürften etwa als Desinforma- 
tion oder Propaganda bewertete Inhalte 
von Plattformen - wie aktuell im um- 
strittenen Fall RT und Sputnik - nicht 
weiterverbreitet werden. Völkerrecht- 
lich müssten Staaten Kriegspropaganda 
zwar unterbinden. Medienrechtlich sei 


in Europa aber eigentlich ein freier In- 
formationsfluss vorgesehen. 

Auch Matthias Kettemann, der in 
Hamburg und Innsbruck Medientheorie 
erforscht und lehrt, bewertet den DSA 
als „bedeutsamen neuen Rechtsakt“. 
Das Gesetz werde „in vielen Bereichen 
der Internetkommunikation für mehr 
Fairness, Rechtssicherheit und Rechen- 
schaftspflicht” sorgen. Gerade für deut- 
sche Nutzer, die schon Erfahrungen 
mit dem Netzwerkdurchsetzungsgesetz 
hätten, handle es sich aber um „keine 
Revolution”. Neu sei, dass Plattformen 
besser moderieren, ihre Regeln klarer 
gestalten und „professioneller mit Be- 
schwerden umgehen” müssten. 


Verwendete Quellen: Kelnberger, 
Anleitung zur Gegenrevolution, SZ 
17.01.2022, 6; Krempl, Digital Servi- 
ces Act: EU-Gremien einigen sich auf 
„Plattform-Grundgesetz“, wrwwr.heise. 
de 23.04.2022, Kurzlink: https://heise. 
de/-7063141; Krempl, Digital Services 
Act: Upgrade fürs rechtliche Betriebs- 
system von Facebook & Co., www.heise. 
de 24.04.2022, Kurzlink: https:// 
heise.de/-7063485; Krempl, Digital 
Services Act: Wie die EU das Internet 
künftig regulieren wird, www.heise.de 
24.04.2022, Kurzlink: https://heise. 
de/-7063328; Krempl, Digital Services 
Act: Medienverbände nennen Plattform- 
gesetz „verfassungswidrig”, www.heise. 
de 25.04.2022, Kurzlink: https://heise. 
de/-7064548; Kelnberger, Neue Regeln 
fürs Netz, SZ 25.04.2022, 15. 
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Heinz Alenfelder 


Neues aus der „Hauptstadt des Datenschutzes”: 
BigBrotherAwards 2022 


Die Verleihung der deutschen Big- 
BrotherAwards (BBA) fand auch 2022 
wieder im Rahmen eines Festakts Ende 
April in Bielefeld, der „Hauptstadt des 
Datenschutzes”, statt. Wie schon die 
Jahre zuvor wurden Preise in verschie- 
denen Kategorien sowie für das Lebens- 
werk verliehen und in Laudationes be- 
gründet. Dieser Bericht beleuchtet kurz 
die Hintergründe der „Oscars für Daten- 
kraken“, gibt einen Überblick über die 
ausgezeichneten Gewinner und wird er- 
gänzt um einige Eindrücke von der Gala. 

Der Verein Digitalcourage übernahm 
im Jahr 2000 (damals noch als FoeBuD) 
die Idee der BigBrotherAwards aus 
Großbritannien. Die englische Bezeich- 
nung für diesen Datenschutz-Negativ- 
preis blieb zwecks Wiedererkennung er- 
halten. In Zusammenarbeit mit anderen 
Bürgerrechtsorganisationen wurde eine 
Jury zusammengestellt, die dieinjedem 
Jahr zahlreich eingehenden Meldungen 
über Preisverdächtige sichtet, bewertet 
und in mühevoller Kleinarbeit nachre- 
cherchiert. Während der ersten zehn 
Jahre druckte die DANA alle Laudatio- 
nes und oft auch darüber hinausgehen- 
des Material im Umfang von zehn bis 
zwanzig Seiten ab. Später, als die BBA 
sich etabliert hatten, verwies meist ein 
deutlich kürzerer Bericht auf die Web- 
seite, die unter bigbrotherawards.de ein 
vielfältiges Informationsangebot bereit 
hält. Nicht nur die Preisträger aus allen 
Jahren werden dort aufgelistet, sondern 
als interessante Ergänzung kann in der 
Rubrik „Updates“ seit 2017 verfolgt wer- 
den, wie die als Datenkrake Ausgezeich- 
neten auf die Auszeichnung reagiert 
haben. Oft - so das Organisationsteam 
- wird übrigens vor der Verleihung mit 
rechtlichen Konsequenzen gedroht, die 
jedoch bisher immer unterblieben sind. 
padeluun, neben Rena Tangens einer 
der Hauptinitiatoren, betonte vorab im 
Pressegespräch, dass sich die BBA-Jury 
nicht als rechtliche Institution sieht, 
die nur Illegales aufdecken will, son- 
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dern immer auch den Austausch mit den 
Preisträgern sucht. Zu diesem Zweck 
werden vor der Preisverleihung sowohl 
die Geschäftsführung als auch die Da- 
tenschutzbeauftragten und die jeweili- 
ge Presseabteilung der betroffenen Fir- 
men, Behörden und Institutionen infor- 
miert und zur Gala eingeladen. Erschie- 
nen ist während der Veranstaltung - wie 
in den meisten Vorjahren - niemand. 
Von der Jury (siehe Kasten) wurden 
im Jahr 2022 in den Kategorien Tech- 
nik, Behörden und Verwaltung, Arbeits- 
welt, Verbraucherschutz und auch für 
ein Lebenswerk die folgenden Preise 
vergeben: 
« Die Bundesdruckerei GmbH erhielt 
den Technik-BBA, da sie in einem 
Projekt mithilfe (und zur Beförde- 
rung) der Blockchain-Technik digi- 
tale Schulzeugnisse erstellen will. 
Laudator Frank Rosengart: „Viele 
Anwendungen für digitale Echtheits- 
prüfungen lassen sich besser mit klas- 
sischen, ‚von oben nach unten’-Zerti- 
fikaten lösen. ... Die große Gefahr in 
der Blockchain liegt darin, dass alle 
Eintragungen lückenlos nachvoll- 
ziehbar sind.” 
Der Behörden-BBA 2022 ging an die 
deutsche Polizei, vertreten durch das 
Bundeskriminalamt, das entgegen der 
verfassungs- und europarechtlichen 
Vorgaben personenbezogene Daten 
in Dateien nicht oder unzureichend 
kennzeichnet, so dass für Millionen 
Menschen die Gefahr besteht von der 
Polizei oder anderen Behörden un- 
gerechtfertigter Weise als Gefährder 
oder Straftäter behandelt zu werden. 
Auch im Projekt „Polizei 2020”, ei- 
nem gemeinsamen „Datenhaus“ von 
Bund und Ländern, scheint sich dies 
nicht wesentlich zu ändern, zumal die 
vielkritisierte amerikanische Firma 
Palantir in Bayern den Zuschlag be- 
kommen hat. Die Laudatio hielt Thilo 
Weichert und er betonte darin: „Der 
BigBrotherAward in der Kategorie 


Verwaltung geht aber vorrangig nicht 
an das Bayerische LKA, sondern an 
das BKA ... das die Gesamtverantwor- 
tung für ‚Polizei 2020’ trägt“. 

Der BigBrotherAward in der Katego- 
rie Arbeitsrecht wurde Lieferando 
und den deutschen Betreibern des 
Angebots, yd.yourdelivery GmbH und 
Takeway Express GmbH, zugespro- 
chen, weil in diesem Unternehmen 
eine unzulässige Totalkontrolle aller 
beschäftigten „Rider“ mit Hilfe der 
Scoober-App erfolgt, die detailliert 
und sekundengenau eine Fülle von 
Verhaltensdaten erfasst. In der Lau- 
datio betonte Peter Wedde: „Das Bun- 
desarbeitsgericht sieht in dauerhaf- 
ten Überwachungsmaßnahmen von 
Beschäftigten (im Regelfall) einen 
unzulässigen Eingriff in die Persön- 
lichkeitsrechte.” 

Zur Verleihung des BBA in der Katego- 
rie Verbraucherschutz fasste der Lau- 
dator padeluun zusammen: „Klarna .... 
hat ein unklares Geschäftsmodell, 
droht Kundinnen und Kunden mit 
überhöhten Mahngebühren und greift 
tief in die Trickkiste, um sich deren 
Privatsphäre zu bemächtigen.” Das 
schwedische Unternehmen Klarna 
Bank AB erhielt den BBA wegen der 
Bündelung von Daten und Macht als 
Shopping-Service, Zahlungsdienst- 
leister, Preisvergleichsportal, persön- 
licher Finanzmanager, Bonitätskont- 
rolleur und Bank. 

Schließlich begründete Rena Tangens 
die Vergabe des BBA für das Lebens- 
werk an die Irische Datenschutzauf- 
sichtsbehörde (DPC), vertreten durch 
Helen Dixon. Deren dauerhafte Sabo- 
tage von Bemühungen europäisches 
Datenschutzrecht durchzusetzen 
führt dazu, dass sich Irland für die 
großen Player des Internets zu einem 
reinen Daten-El-Dorado entwickelt 
hat. Mit verschiedenen „Tricks“ um- 
geht die Irische Datenschutzaufsicht 
die Bearbeitung von Beschwerden. 
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Rena Tangens: „Es fehlt schlicht am 
europäischen Geist”. Den Wortlaut 
ihres Beitrags finden Sie gleich im 
Anschluss an diesen Artikel. Das Pu- 
blikum entschied zum Schluss der 
Laudationes, dass dies der Hauptge- 
winner des Jahres 2022 ist. 


Die diesjährige Gala zur Verleihung 
der BBA fand wieder im hybriden For- 
mat statt. Mit großem Engagement hat- 
ten über 70 Angestellte und Ehrenamtli- 
che von Digitalcourage Vorbereitungen 


getroffen, die eine gelungene Veran- 
staltung mit ansprechenden Bühnenbil- 
dern in einer angenehmen Atmosphäre 
in der Bielefelder Hechelei möglich 
machten. Neben der musikalischen Un- 
termalung durch das Kristin Shey Jazz 
Quartett sorgte der durch das Programm 
führende Moderator Andreas Liebold für 
eine aufgelockerte Stimmung, indem er 
einige Quizfragen stellte und auch mal 
Werbung für Spenden an Digitalcoura- 
ge einflocht. Peter Weddes Laudatio für 
Lieferando wurde per Video eingespielt 


Die Jury der BigBrotherAwards 2022 


und ebenso grüßte der Bundesbeauf- 
tragte für den Datenschutz und die In- 
formationsfreiheit, Ulrich Kelber, per 
Videoaufzeichnung. Mit einem Umtrunk 
schien die Veranstaltung beendet, hätte 
sich nicht im Laufe des Abends noch der 
Betriebsratsvorsitzende von Lieferando 
eingefunden, um den Preis dankend 
entgegen zu nehmen. Er versteht ihn 
laut der Nachricht von Digitalcourage 
auf dem Nachrichtendienst Mastodon 
„als Unterstützung für die Rechte der 
Fahrer.innen“. 


padeluun 


Prof. Dr. Peter Wedde 


Frank Rosengart Rena Tangens Dr. Thilo Weichert 
Chaos Computer Club, Digitalcourage, ist Frankfurt University of Digitalcourage, ist Deutsche Vereinigung 
programmiert im Kom- Künstler und Grün- Applied Sciences, ist Künstlerin, Internet- für Datenschutz und 
munikationsbereich. dungsvorstand von Professor für Arbeits- Pionierin und Vorstand Netzwerk Datenschutz- 
Der Chaos Computer Digitalcourage. Digi- rechtund Recht derIn- vonDigitalcourage. Sie expertise, ist ehema- 
Club e.V. (CCC), 1981 talcourage setzt sich formationsgesellschaft hat 1987 Digitalcoura- liger Datenschutzbe- 
gegründet, ist die seit 1987 für eine sowie Herausgeberund ge- damals als FoeBuD auftragter des Landes 
größte europäische lebenswerte Welt im Autor. - mitgegründet. Für Schleswig-Holstein. 
Hackervereinigung. digitalen Zeitalter ein ihre Arbeit wurde sie Das Netzwerk Daten- 
und veranstaltet seit bereits mehrfach aus- schutzexpertise ist ein 
2000 die BigBrotherA- gezeichnet Zusammenschluss von 
wards in Bielefeld. Experten und Expertin- 


Die Bilder wurden aus dem BBA-Video 2022 entnommen: 


https://digitalcourage.video/w/1JGytG6mwhNdbxX1UJjUV8 


nen, die Gesetze und 
Technologien juristisch 
und technisch detail- 
liert analysieren. 


Laudatio zum BigBrotherAward 2022 in der Kategorie 
„Lebenswerk“: Die Irische Datenschutzbehörde 
(DPC - Data Protection Commissioner) 


Ein BigBrotherAward 2022 geht an 
die irische Datenschutzaufsicht, kurz 
DPC (Data Protection Commission), ver- 
treten durch ihre Chefin Helen Dixon, 
für ihre umfassende Sabotage des euro- 
päischen Datenschutzrechts. Und weil 
die irische Datenschutzaufsicht das so 
planvoll, seit so vielen Jahren und mit 
solch kafkaesker Phantasie betreibt, 


DANA ® Datenschutz Nachrichten 2/2022 


reicht dafür die Kategorie „Behörden 
und Verwaltung” nicht aus. Dafür gibt 
es den Preis fürs Lebenswerk. 

Die irische Datenschutzaufsicht ver- 
hindert, dass geltendes Recht durchge- 
setzt wird - durch jahrelanges Verschlep- 
pen, de facto Nicht-Bearbeiten von Be- 
schwerden, bürokratische Winkelzüge, 
abschreckende Kosten für Beschwer- 


deführer und mangelnde Kooperation 
mit den europäischen Kolleginnen und 
Kollegen. Behördenchefin Helen Dixon 
agiert erratisch und reagiert allergisch 
auf Kritik. Ihre Behörde lässt das euro- 
päische Datenschutzrecht ins Leere lau- 
fen - und das ausgerechnet gegenüber 
denen, die harte Kontrolle nötig hätten: 
Google, Facebook, Apple, Microsoft & Co. 
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Laudatorin Rena Tangens 
Arbeitsverweigerung 


Die Arbeitsverweigerung der irischen 
Datenschutzaufsicht betrifft dabei 
nicht nur Menschen, die in Irland leben, 
sondern sie gefährdet die Persönlich- 
keitsrechte von 450 Millionen EU-Bür- 
gerinnen und Bürgern. 

Rückblende: Mai 2018 - die europä- 
isch Datenschutzgrundverordnung 
tritt in Kraft. Sie stellt klar: 1. Egal, aus 
welchem Land ein Unternehmen kommt 
- sobald es persönliche Daten von EU- 
Bürger.innen verarbeitet, muss es sich 
an die in der EU geltenden Datenschutz- 
regeln halten. Das ist das „Marktort- 
prinzip“. 2. Bei Datenschutzvergehen 
drohen nun endlich empfindliche Buß- 
gelder. „Empfindlich” heißt: bis zu 4 % 
des weltweit erzielten Jahresumsatzes. 
Damit wurde Datenschutz bei den Kon- 
zernen zur Chefsache. Yay! 

Doch leider haben wir uns zu früh ge- 
freut: Denn ein europäisches Gesetz zu 
machen reicht nicht - seine Einhaltung 
muss auch in allen EU-Staaten durchge- 
setzt werden. Und da gibt es ein Prob- 
lem. Es heißt: Irland. 

Weshalb? 

Jedes Unternehmen muss eine feder- 
führende Datenschutzaufsichtsbehör- 
de festlegen, und zwar in dem Land, 
in dem das Unternehmen seine Haupt- 
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niederlassung in der EU hat. Diese fe- 
derführende Aufsichtsbehörde ist für- 
derhin die Hauptansprechadresse für 
alle Beschwerden gegen dieses Unter- 
nehmen. Wenn sich Bürger.innen oder 
Organisationen über die Datenverarbei- 
tung einer Firma beschweren wollen, 
tun sie das bei der Datenschutzaufsicht 
in ihrem eigenen Land. Diese leitet die 
Beschwerde dann an die zuständige 
Datenschutzaufsicht am Hauptsitz des 
beklagten Unternehmens weiter. Die 
Regelung, dass die Datenschutzauf- 
sicht eines Unternehmens jeweils in 
den Händen nur eines EU-Landes liegt, 
heißt „One-Stop-Shop“. 

Das klingt erst einmal praktisch - da 
wird Kompetenz gebündelt und die Auf- 
sichtsbehörde kennt ihre Pappenheimer 
vor Ort und muss sich nicht bei jeder Be- 
schwerde neu einarbeiten. 

Doch es gibt einen Haken: Die gro- 
ßen Digitalkonzerne mit ihren im- 
materiellen Geschäften können ihren 
„Hauptsitz“ relativ flexibel handhaben. 
Entsprechend suchen sie sich eine ih- 
nen genehme Datenschutzaufsicht und 
eröffnen dann dort ihren vorgeblichen 
Hauptsitz. 

Hier fällt eine gewissen Ballung ins 
Auge - Irland: Home of Google, App- 
le, Facebook und WhatsApp, Microsoft 
und LinkedIn, Adobe, Tiktok, Airbnb, 


Foto: Matthias Hornung CC BY-SA 4.0 


Tinder, Twitter, Dropbox, Yahoo und so 
weiter. 

Tja, was könnte wohl die Ortswahl der 
Digitalkonzerne beeinflussen? 

Das grüne Gras, die weiten Wiesen, 
das dunkle Bier, ... oder liegt es ganz 
vielleicht doch an den Eigenheiten der 
Datenschutzaufsicht in Irland? 

Schauen wir uns das mal genauer an: 

Welche Bedeutung Irland dem Da- 
tenschutz gibt, das dokumentiert ein- 
drucksvoll das Dienstgebäude der iri- 
schen Datenschutzaufsicht: Ein Büro im 
ersten Stock über einem kleinen Super- 
markt in der Kleinstadt Portarlington - 
mehr als 70 Kilometer südwestlich von 
Dublin, jott we de. Das Foto der Daten- 
schutzbehörde mit Supermarkt belus- 
tigt seit vielen Jahren die Presse in ganz 
Europa. Ja, inzwischen ist der Centra 
Supermarkt einem Spar gewichen und 
es ist immerhin einmal neu gestrichen 
worden. 

2017 wurde ein zusätzlicher Behör- 
densitz ganz repräsentativ mitten in der 
Hauptstadt Dublin eröffnet. Keineswegs 
aber, um der gestiegenen Bedeutung 
des Datenschutzes in Europa gerecht zu 
werden, sondern - Zitat eines Sprechers 
der Behörde - „um besseren Kontakt zu 
den multi-nationalen Unternehmen zu 
halten, die sich in Dublin angesiedelt 
haben“”(!).' 
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Kreative Behörde 


Die irische Datenschutzaufsicht gibt 
sich jede erdenkliche Mühe das von Big 
Tech in sie gesetzte Vertrauen nicht zu 
enttäuschen. Und dafür lassen sie sich 
ganz schön viel einfallen: 


Wichtigste Taktik: Beschwerden 
gegen die großen Digitalkonzerne 
einfach liegen lassen. 


Fälle schlicht nicht bearbeiten. 

Ein paar Zahlen zur Illustration: Seit 
Geltungsbeginn der DSGVO im Mai 2018 
hat Ulrich Kelber, der deutsche Bundes- 
beauftragte für den Datenschutz und 
die Informationsfreiheit (BfDI), etwa 50 
Verfahren zuständigkeitshalber an die 
irische Datenschutzaufsicht abgegeben 
- überwiegend Verfahren gegen Whats- 
App. Von diesen 50 Verfahren ist nicht 
eines durch eine inhaltliche Entschei- 
dung abgeschlossen worden. 

Laut Gesetz müssen Beschwerden 
„unverzüglich“ bearbeitet werden. 
Die irische Datenschutzaufsicht argu- 
mentiert gerade vor dem irischen High 
Court, dass vier Jahre Bearbeitungszeit 
immer noch „unverzüglich“ seien ... 

Den enormen Rückstau bei der Bearbei- 
tung der Beschwerden erklärt die irische 
Datenschutzaufsicht damit, dass sie zu 
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wenig Geld und zu wenig 
Personal hätte. 

Doch die Behörden gro- 
ßer Mitgliedsstaaten wie 
Spanien oder Frankreich 
verfügen über ähnliche 
Budgets wie das kleine 
Irland. Die spanische 
Datenschutzaufsicht hat 
etwa das gleiche Bud- 
get und haut mehrere 
Entscheidungen pro Tag 
raus - die Iren schaffen 
nur ein paar pro Jahr. Es 
liegt also nicht am Geld, 
sondern an der Effizienz. 
Die Mitarbeiterzahl ist 
in Irland inzwischen von 
rund 30 (im Jahr 2014) 
auf 195 (im Jahr 2021) 
aufgestockt worden - 
leider ohne dass das die 
Arbeitsergebnisse ver- 
bessert hätte. Die Auf- 
sichtsbehörden anderer 
Länder, u.a. Deutschland, haben den 
irischen Kolleg.innen schon vor Jahren 
Hilfe bei der Bearbeitung der Fälle ange- 
boten. Doch Helen Dixon hat alle Hilfs- 
angebote ausgeschlagen. 


Zweite Taktik: Statistik-Bullshit 
verbreiten. 


Viel Energie der Behörde wird offenbar 
in Public Relations und hübsch gestal- 
tete Tätigkeitsberichte gesteckt, um das 
Nichtstun gut aussehen zu lassen. Im 
Tätigkeitsbericht vom März 2022 steht, 
dass 626 von 969 grenzüberschreiten- 
den Beschwerden, die seit Mai 2018 ein- 
gegangen seien, abgeschlossen wurden. 
Aber Moment mal: Was bedeutet „abge- 
schlossen”? Offenbar nicht, dass die Fäl- 
le bearbeitet und entschieden wurden. 

Ein weiterer Fall von Zahlen-Kos- 
metik: Zuvor hatte die irische Daten- 
schutzaufsicht rund 10.000 „cases“ 
(Fälle) pro Jahr auf dem Tisch Doch im 
Tätigkeitsbericht 2021 gibt es plötz- 
lich nur noch rund 3.400 „complaints” 
(Beschwerden), dazu aber rund 7.500 
„inquiries“ (Anfragen). Der Trick: Alles, 
was bei der Einreichung nicht expli- 
zit „Beschwerde“ genannt wurde, fällt 
unter „Anfragen“. Anfragen landen im 
Papierkorb. Auch das ist natürlich eine 
Art „sich damit befassen“ und „abzu- 


schließen“: Ablage P. Erledigung durch 
Umbenennung. 


Taktik Nummer drei: Ausschluss der 
Beschwerdeführer.innen vom Ver- 
fahren. 


Dafür gibt es eine ganze Reihe von 
Tricks, zum Beispiel: 


a) Die Erpressungs-Methode: 

Die Behörde fordert vom Kläger die 
Unterzeichnung einer Verschwiegen- 
heitserklärung (englisch „Non Disclo- 
sure Agreement”, kurz NDA). Das heißt, 
er müsste Stillschweigen über die Ver- 
handlung, die Verhandlungsergebnisse 
und die dort vorgelegten Informationen 
wahren. So geschehen mit Johnny Ryan 
vom Irish Council for Civil Liberties bei 
seiner Klage gegen Googles Real Time 
Bidding Werbeauktionen. So geschehen 
mit Max Schrems von noyb („none of 
your business”) bei seiner Klage gegen 
Facebook. Damit will die irische Daten- 
schutzaufsicht dafür sorgen, dass alles 
hübsch intern und unterm Deckel ge- 
halten wird. So etwas kann eine klagen- 
de Verbraucher- und Bürgerrechtsorga- 
nisation einfach nicht unterschreiben! 
Nach Nichtunterzeichnung wurde Max 
Schrems von seinem eigenen Verfahren 
ausgeschlossen. Was allen EU-Grund- 
rechten widerspricht. 


b) Die Umgehungsmethode: 

Die irische Behörde leitet ein paralle- 
les „amtsseitiges Verfahren” zum selben 
Thema wie eine Beschwerde ein. Fortan 
wird nur noch dieses amtsseitige Ver- 
fahren bearbeitet - und solange lässt 
sie das Verfahren des Beschwerdefüh- 
rers ruhen. Nach der Entscheidung des 
amtsseitigen Verfahrens wird dann das 
andere beendet, denn das Thema ist ja 
jetzt erledigt! Chapeau - eine wirklich 
elegante Art, die Bürger.innen von ih- 
ren eigenen Verfahren auszuschließen. 


oDie „Klag-doch-wenn-du-es-dir- 
leisten-kannst”-Methode: 

Bei Untätigkeit der irischen Daten- 
schutzbehörde den Rechtsweg einzu- 
schlagen und zu klagen ist eine so teure 
Angelegenheit, dass sie für Privatleute 
quasi nicht in Frage kommt. Dazu trägt 
u.a. die irische Regel bei, dass jedes 
Gesetz, auf das man sich bezieht, nicht 
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nur als „nach Paragraph xy“ benannt 
werden, sondern vor Gericht vorgele- 
sen werden muss. Das dauert nicht nur 
lang - sondern wird bei den bis zu 1000 
Euro, die Anwaltskanzleien pro Stunde 
kassieren, auch sehr, sehr teuer für die 
Klagenden. Ein Beispiel: Im „Privacy 
Shield”-Fall („Schrems II”) ging es um 
die Datenübermittlung von Facebook 
in die USA. Bei dem Fall gab es drei 
Parteien (Facebook, die Irische Daten- 
schutzaufsicht und Max Schrems). Wer 
verliert, muss die Kosten von allen drei 
Parteien zahlen - die beliefen sich in 
diesem Fall auf insgesamt rund 10 Mil- 
lionen Euro (!). Was für ein Glück, dass 
Max Schrems gewonnen und die Daten- 
schutzbehörde verloren hat. 

Soviel zur Kreativität der irischen Be- 
hörde - nun zu den Kopfnoten: 


Mangelnde Kollegialität, kein euro- 
päischer Geist, Geheimniskrämerei: 


Zu all dem passt, wie Behördenchefin 
Dixon agiert. Sie nimmt an fast keiner 
gemeinsamen Sitzung der europäi- 
schen Datenschutzbeauftragten teil. Sie 
schickt meist einen Stellvertreter, der 
dann aber nichts sagen kann oder darf. 
Die Kommunikation auf der Leitungs- 
ebene ist damit schon malttot. Das setzt 
sich auf der Sachbearbeitungsebene 
fort: Anfragen per E-Mail von deutschen 
oder österreichischen Kolleg.innen wer- 
den oft nicht beantwortet, Telefonanru- 
fe nicht angenommen. Mitarbeiter.in- 
nen von anderen Datenschutzbehörden 
werden von den Iren gern „geghostet“, 
also komplett ignoriert, Akten nicht an 
die europäischen Kolleg.innen über- 
mittelt. Die irische Behörde wirkt wie 
ein „schwarzes Loch”, in dem alles ver- 
schwindet. 

Ihre Arbeitsverweigerung hat aber 
eben nicht nur für Menschen in Irland 
Folgen, sondern für 450 Millionen Men- 
schen in der EU, deren Rechte von den 
großen Digitalkonzernen mit Füßen 
getreten werden. Das Gebaren der iri- 
schen Datenschutzaufsicht führt dazu, 
dass europaweit kleine und mittelstän- 
dische Firmen bei Datenschutzvergehen 
von ihrer nationalen Aufsichtsbehörde 
sanktioniert werden; die großen Digi- 
talkonzerne aber zeigen uns allen eine 
lange Nase: „Ätsch - beschwert euch 
doch - wir sind in Irland.” 


96 


Nun fragen wir uns: Warum tun 
die das?! 


Durch all diese Winkelzüge und mie- 
sen Tricks macht die irische Daten- 
schutzbehörde Irland zum Datenschutz- 
Freihafen, zum Schlupfloch für Verbre- 
cher, zum Reservat für Datenkraken. All 
das fügt sich bestens in einen anderen 
Teil des inselgrünen Ökosystems ein: 


Die Steueroase 


Sie denken bei Steueroasen an die Cay- 
man Inseln oder die Bahamas? Lenken 
Sie lieber Ihren Blick auf Irland. Offiziell 
gelten in Irland 12,5 % Unternehmens- 
steuern. Doch Irland hat es einigen aus- 
ländischen Konzernen ermöglicht die ef- 
fektiven Unternehmenssteuern für ihre 
globalen Gewinne auf 0 bis 2,5 % zu drü- 
cken. Die Steuertricks haben so phanta- 
sievolle Namen wie „Double Irish”, „Dou- 
ble Irish with a Dutch sandwich” oder 
„Single Malt“. Über Irlands Steuerspar- 
modelle werden mehr Gelder der Steuer 
(und damit der Allgemeinheit) entzogen, 
als in der gesamten Karibik.? 


Gesetzlosigkeit als Geschäftsprinzip? 


Für Irland sind das lukrative Geschäfte. 
Es profitiert davon, dass es den Big Tech 
Konzernen ermöglicht ihren Überwa- 
chungskapitalismus ohne Rücksicht auf 
Bürgerrechte durchzuziehen. Also persön- 
liche Daten zu sammeln, zu Profilen zu ver- 
knüpfen, Kategorien zu bilden, Menschen 
zu manipulieren und ihnen durch den 
Verkauf von Prognosen viel Handlungs- 
freiheit für die Zukunft zu nehmen. Irland 
lebt von den Brosamen von Big Tech. Und 
es lebt gut davon, denn auch nur 2,5 % 
des globalen Umsatzes von Apple ist schon 
eine verdammt große Menge Geld. 

Wir alle zahlen dafür mit unserer Freiheit. 

Doch dieses Geschäftsgebaren hat 
eine Kehrseite: Irland ist extrem abhän- 
gig von den Tech-Konzernen. Ein paar 
Zahlen: 

« 2016-17 haben ausländische Firmen 
80 % der irischen Unternehmenssteu- 
ern gezahlt. 

+ 25 der Top-50-Unternehmen in Irland 
sind US-kontrolliert. 

« 2018 machte Apple alleine ein Fünftel 
des irischen Bruttoinlandsproduktes 
aus.’ 


Ein Abgeordneter des irischen Par- 
laments, der 2017 auf das schändliche 
Treiben der Konzerne mit dem Steuer- 
vermeidungsmodell „Single Malt” hin- 
wies, bekam vom irischen Finanzminis- 
ter den guten Rat „to put on the green 
jersey” (das grüne Trikot anziehen) - 
mit anderen Worten: Zum Wohle Irlands 
die Klappe halten.‘ Der Finanzminister 
machte sich also keine Sorgen wegen 
des Steuerbetrugs, sondern mehr wegen 
Irlands Reputation. 

2023 kommt die globale Mindeststeu- 
er von 15 % - und eine Digitalsteuer. 
Werden die Digitalkonzerne Irland ver- 
lassen, wenn der Steuervorteil versiegt 
ist? Oder reicht es ihnen, wenn auf der 
grünen Insel die Durchsetzung des Da- 
tenschutzes blockiert wird? Darauf hofft 
offenbar der irische Premierminister Mi- 
cheäl Martin. Er lobte im Februar 2022 
ausdrücklich „Ms. Dixons Kompetenz 
und Fähigkeiten” und forderte, dass Ir- 
land die Arbeit ihrer Datenschutzbehör- 
de „robuster gegen Kritik verteidigen” 
solle.’ 


Wie lange wollen wir das noch zulassen? 


Leider ist das grüne Trikot offenbar 
auch bei denen beliebt, die die Einhal- 
tung der europäischen Gesetze durch- 
setzen sollen. Es wäre nämlich die 
Aufgabe der Europäischen Kommission 
- genau gesagt: der Generaldirektion 
Justiz und Verbraucher - die irische Da- 
tenschutzaufsicht wirksam auf Vollzug 
des europäischen Datenschutzrechts 
zu kontrollieren. Tut sie aber leider seit 
Jahren nicht. Team Irland. Seriously? 

Doch Obacht: Allmählich braut sich 
etwas zusammen in Europa. Denn ir- 
gendwann reicht es auch hier den di- 
plomatischsten, freundlichsten und 
geduldigsten Datenschützer.innen und 
Politiker.innen. 

Im Januar 2021 beantragt der LIBE- 
Ausschuss des Europäischen Parlaments 
(das ist der Ausschuss für bürgerliche 
Freiheiten, Justiz und Inneres) ein EU- 
Vertragsverletzungsverfahren gegen 
Irland einzuleiten, weil Irland die euro- 
päische Datenschutzgrundverordnung 
nicht ordnungsgemäß durchsetzt.‘ 

Auftritt Helen Dixon: Sie fordert, 
dass sie dazu im LIBE-Ausschuss an- 
gehört wird. Der LIBE-Ausschuss setzt 
tatsächlich eine Anhörung für den 17. 
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März 2021 an. Nun will Dixon sogar das 
Verfahren vor dem europäischen Parla- 
ment bestimmen - und nicht kommen, 
wenn auch Kritiker wie Max Schrems 
geladen werden. Damit allerdings blitzt 
sie bei den EU-Parlamentariern ab 
- der Ausschuss für bürgerliche Frei- 
heiten lässt sich das Procedere seiner 
Anhörungen nicht diktieren. Darauf- 
hin erscheint Helen Dixon nicht zu der 
Anhörung, die sie selbst verlangt hat. 
Großes Kino. 

Kein Wunder, dass selbst in Irland 
manche mittlerweile Rot sehen. Wie 
der Justizausschuss des irischen Par- 
laments, der im Juli 2021 eine grund- 
legende Reform der irischen Daten- 
schutzaufsicht gefordert hat. Wobei 
auch dieser Schritt zur Einsicht wohl 
nicht passiert wäre ohne die Initiative 
und das Engagement von Bürgerrechts- 
organisationen, die unsere Rechte ge- 
genüber den Digitalkonzernen durch- 
zusetzen versuchen. Unser Dank gilt be- 
harrlichen Menschen wie Max Schrems 
von noyb und Johnny Ryan vom Irish 
Council for Civil Liberties (ICCL). 

Im März 2022 hat der High Court, der 
höchste Gerichtshofin Irland, die Klage 
des ICCL gegen die irische Datenschutz- 
aufsicht wegen Untätigkeit zugelassen. 
Dixons Behörde hatte die Beschwerde 
des ICCL wegen Googles Werbeauktio- 
nen - das sogenannte Real Time Bidding 
- vier Jahre lang nicht bearbeitet. Stich- 
wort: „unverzügliche Erledigung”... 
Zum Thema Googles Real Time Bidding 
empfehle ich meine Laudatio zum Big- 
BrotherAwards für Google von 2021.:) 

Das ICCL hat außerdem die EU-Kom- 
mission aufgefordert ein Vertragsver- 
letzungsverfahren einzuleiten. Im Feb- 
ruar 2022 reicht EU-Ombudsfrau Emily 
O’Reilly die Beschwerde wegen Untätig- 
keit der irischen Datenschutzbehörde an 
Ursula von der Leyen weiter und fordert 
Antwort bis 15. Mai 2022. Ausgang offen. 


Was istzutun? 


1.Das One-Stop-Shop-System ist offen- 
bar dysfunktional und sollte grund- 
legend reformiert werden.’ Wenn ein 
einzelnes Land aus Eigennutz die 
Durchsetzung der Datenschutzgrund- 
verordnung blockieren kann, dann ist 
das ein struktureller Fehler. 

2.Sidestepping: Datenschutzbeschwer- 
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den einfach nicht mehr nach Irland 
weitergeben, sondern sich selbst für 
zuständig erklären und entscheiden. 
Einige EU-Länder, z.B. Frankreich, 
praktizieren das bereits hier und da. 
Betroffene werden auch zu Gerichten 
gehen statt zu Datenschutzbehören, 
auch wenn das vielkosten kann. 

3.Ein einheitliches europäisches Ver- 
fahrensrecht für grenzüberschreiten- 
de Datenschutzfälle einführen, das 
Fristen für die Bearbeitung und so 
weiter verbindlich festlegt. 

4.Oder eine kompetente europäische In- 
stitution bestimmen, die die großen 
grenzüberschreitenden Fälle entschei- 
det. Das könnte zum Beispiel der Euro- 
päische Datenschutzausschuss (EDSA)? 
sein, in dem die Datenschützer.innen 
der Mitgliedsländer seit langem ver- 
trauensvoll zusammenarbeiten. 


Klingt nach Arbeit - aber Politik ist 
nun mal das „starke langsame Bohren 
von harten Brettern”. 

Was auch immer gemacht wird - eins 
ist klar: An den entscheidenden Stellen 
brauchen wir Menschen mit Motivation 
zum Ermitteln, der Beharrlichkeit Fälle 
auszufechten und dem Willen Daten- 
schutz und die Persönlichkeitsrechte 
der Bürgerinnen und Bürger durchzu- 
setzen. 

Nicht die Bürokratie ist das Problem, 
sondern die Menschen, die sich hinter 
ihr verstecken. 


Liebe Helen Dixon, 

dies ist keine Anfrage, keine Be- 
schwerde, keine Klageeinreichung, kein 
Zwischenbescheid - das ist ein Big- 
BrotherAward. 

Die BigBrotherAwards sind unabhän- 
gig. Wirbekommen kein Geld vom Staat, 
wir nehmen kein Sponsoring von Goog- 
le, Facebook & Co. - die BigBrother- 
Awards leben durch die privaten Spen- 
den von tausenden von Menschen, die 
unsere Arbeit unterstützen. Wie wichtig 
unsere Unabhängigkeit ist, das zeigt 
uns genau dieser BigBrotherAward. 

Herzlichen Glückwunsch, Helen Dixon 
und der ganzen irischen Datenschutz- 
aufsicht zum Preis fürs Lebenswerk. 

Congratulations, Ms. Dixon and the 
Irish Data Protection Commission - the 
BigBrotherAward 2022 for Lifetime 
achievement is yours. 


1 TheJournal, 3.5.2014: The Data Pro- 
tection Commissioner is getting anew 
office, but keeping the one beside a 
convenience store in Laois 
https://www.thejournal.ie/data- 
protection-commissioner-new-office- 
1488473-May2014/ 


2 Zitat Wikipedia: Ireland’s base erosion 
and profit shifting (BEPS) tools give 
some foreign corporates Effective tax 
rates of 0% to 2.5% on global profits 
re-routed to Ireland via their tax treaty 
network. (...) Ireland’s BEPS tools are 
the world’s largest BEPS flows, exceed 
the entire Caribbean system, Quelle: 
https://en.wikipedia.org/wiki/Ireland_ 
as_a tax_haven 


3 Quelle Wikipedia: https://en.wikipedia. 
org/wiki/Corporation_tax_in_the_ 
Republic_of_Ireland 


4 Zitat aus der Parlamentsdebatte: It was 


interesting that when Matt Carthy put 
that to the Minister’s predecessor, his re- 
sponse was that this was very unpatriotic 
and he should wear the green jersey. That 
was the former Minister’s response to the 
fact there is a major loophole, whether 
intentional or unintentional, in ourtax 
code that has allowed large companies 

to continue to use the double Irish. The 
Minister’s predecessor has acknowledged 
the reputational damage this has done 
to Ireland. He was not really concerned 
about losing tax revenue and alltherest, 
but about the reputational damage. Let 
there beno doubt that, as we close one 
loophole and create another door, or 

do not close the door, this reputational 
damage is going to continue. Quelle: Däil 
Eireann debate - Thursday, 23 Nov 2017, 
Vol. 962 No. 2. https://www.oireachtas. 
ie/en/debates/debate/dail/2017-11- 
23/18/ 


5 Thelrish Times, 22.2.2022: Taoiseach 
defends Irish data protection commissio- 
ner in Germany - Martin doesn't 'readily 
agree’ with many criticisms of Helen 
Dixon’s record https://www.irishtimes. 
com/business/technology/taoiseach- 
defends-irish-data-protection- 
commissioner-in-germany-1.4809442 


6 LIBE Ausschuss - Antrag auf Vertrags- 
verletzungsverfahren vom 13.1.2021: 
Draft Motion for a resolution - B9- 
0000/2021 European Parliament Reso- 
lution on the ruling ofthe ECJ of 16 July 
2020 - Data Protection Commissioner v 
Facebook Ireland Limited, Maximillian 
Schrems (“Schrems II”) - Case C-311/18 
(2020/2789(RSP)) 


7 Im gerade fertiggestellten Digital Ser- 
vices Act (DSA) hat man die Lehren aus 
der DSGVO gezogen und die Aufsicht 
anders geregelt. 


8 engl. European Data Protection Board, 


EDPB - das ist die Organisation, die 
früher „Artikel 29 Arbeitsgruppe” hieß. 
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Pressemitteilung vom 15.02.2022 


Netzwerk Datenschutzexpertise fordert Totalreform des 
Ausländerzentralregisters 


Das Netzwerk Datenschutzexpertise 
hat ein umfangreiches Gutachten zum 
Gesetz über das Ausländerzentralregis- 
ter (AZRG) erstellt, das zu einem ver- 
nichtenden Ergebnis kommt: Das AZRG 
verstößt in dutzendfacher Hinsicht ge- 
gen das deutsche Grundgesetz, gegen 
die europäische Grundrechte-Charta 
und gegen die europaweit geltende Da- 
tenschutz-Grundverordnung. 

Im allgemeinen Datenbestand des 
Ausländerzentralregisters (AZR) wer- 
den teilweise hochsensitive Daten von 
allen in Deutschland lebenden ca. 11 
Mio. ausländischen Menschen sowie 
von weiteren 8 Mio. Nichtdeutschen ge- 
speichert. Die dort gespeicherten Daten 
werden nicht nur von Ausländer- und 
Asylbehörden angeliefert, sondern auch 
von Polizeien und Nachrichtendiens- 
ten, Sozial- und Gesundheitsbehörden. 
Alle Behörden in Deutschland undin der 
Europäischen Union haben einen Zu- 
griff auf die dort gespeicherten Daten, 
die Polizeien und Nachrichtendienste 
haben einen praktisch unbeschränkten 
und nicht oder kaum kontrollierten di- 
rekten Zugriff auf sämtliche AZR-Daten. 
Transparenz für die Betroffenen besteht 
nur eingeschränkt und teilweise über- 
haupt nicht. 

Statt diese Missstände zu beheben 
wird das AZR auf Grund eines Beschlus- 
ses der alten Großen Koalition ab No- 
vember 2022 weiter ausgebaut: Ab dann 
sollen dort fast alle für die Betroffenen 


Jetzt DVD-Mitglied werden: 


konfliktgeneigten ausländerrechtlichen 
und sämtliche asylrechtlichen Entschei- 
dungen im Wortlaut verfügbar gemacht 
werden, um automatisiert von vielen 
Behörden, insbesondere auch von Si- 
cherheitsbehörden, abgerufen werden 
zu können. Dies soll der erste Schritt 
dazu sein die bisherige dezentrale digi- 
tale Aktenführung der Ausländerbehör- 
den zentral im AZR zusammenzuführen. 
Die Konsequenzen der Nutzung dieser 
Informationen können für die Betrof- 
fenen existenziell sein, indem sie z.B. 
für eine Abschiebeentscheidung heran- 
gezogen werden oder wenn aus einem 
Asylverfahren stammende Informatio- 
nen an Verfolgerbehörden im Heimat- 
staat gelangen. 

Trotz dieser gewaltigen Risiken sind 
die für die Betroffenen eingerichteten 
Schutzmaßnahmen entweder nicht 
existent oder unzureichend. Es erfolgt 
keine Unterrichtung über die Speiche- 
rung; der datenschutzrechtliche Aus- 
kunftsanspruch wird eingeschränkt; 
rechtliches Gehör ist nicht vorgesehen. 
Damit werden grundlegende Vorgaben 
des Datenschutzes wie der Rechtstaat- 
lichkeit verletzt. 

Das Gutachten des Netzwerks Daten- 
schutzexpertise kommt zu dem Ergeb- 
nis, dass zunächst eine umfassende 
Evaluation des AZR erfolgen muss, um 
die - bisher nicht bekannte - tatsächli- 
che Nutzung des Registers überschauen 
zu können. Auf dieser Grundlage muss 


www.datenschutzverein.de 
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dann das AZR einer Totalrevision unter- 
zogen werden; die Regelungen des AZRG 
müssen auf das grundrechtlich tolerier- 
bare Maß zusammengestrichen werden, 
so Thilo Weichert von Netzwerk Daten- 
schutzexpertise: 

„Bisher - seit über 25 Jahren - verwei- 
gert sich die Bundespolitik einer grund- 
legenden Überarbeitung des AZR, ob- 
wohl die verfassungsrechtlichen Mängel 
von Anfang an bekannt sind. Diese Män- 
gel waren auch Thema eines weiteren 
aktuellen Gutachtens der Gesellschaft 
für Freiheitsrechte. Die Ampelkoaliti- 
on und die neue Bundesregierung sind 
angetreten eine moderne Datenschutz- 
politik und eine weltoffene und liberale 
Migrationspolitik zu praktizieren. Zen- 
traler Bestandteil dieser neuen Politik 
muss die Reform des Ausländerzentral- 
registers sein. Glaubwürdigkeit beim 
Schutz von Menschenrechten beweist 
sich dort, wo die Betroffenen bisher kei- 
ne Lobby und keine öffentliche Stimme 
haben. Bürgerrechtsorganisationen - 
auch das Netzwerk Datenschutzexper- 
tise - helfen gerne dabei das AZR auf 
einen grundrechtskonformen Weg zu 
bringen.” 


Das Gutachten ist im Internet abruf- 
bar unter: 
https: //www.netzwerk- 
datenschutzexpertise.de/sites/ 
default/files/gut_2022_azrg.pdf. 


3456034296D 


” 


2 — Un 
12345442180 ml 


DANA « Datenschutz Nachrichten 2/2022 


Pressemitteilung von Digitalcourage vom 25.02.2022 


1.000 Hilfsangebote für Schulen zu datenschutz- 
freundlichem Unterricht 


Im Sommer 2021 hat der gemeinnüt- 
zige Verein Digitalcourage ein neues 
Hilfsprojekt für Schulen gestartet: Im 
„Netzwerk Freie Schulsoftware” finden 
alle Rat und Hilfe, die die schulische, 
digitale Bildung von Kindern bestmög- 
lich und datenschutzfreundlich beglei- 
ten möchten. 


-Ein politisch viel diskutiertes Thema 


Eine besondere Herausforderung 
und Dauerthema in der Bildungspolitik 
ist die Bereitstellung geeigneter Un- 
terrichtssoftware. Programme wie Mi- 
crosoft Office, Teams, Zoom, Dropbox, 
One Drive oder Google Docs sind für die 
Nutzung an Schulen höchst umstritten, 
aus unterschiedlichen Gründen jedoch 
weiterhin vielerorts im Einsatz. Bund 
und Länder haben die Problematik zwar 
erkannt, die Bereitstellung von Alter- 
nativen, sowie Aufklärung über Daten- 
schutz, laufen trotzdem nur schleppend 
an. Es gibt viele Schulen, die sich den 
Herausforderungen bereits gestellt und 
einen guten Umgang mit quelloffener, 
lizenzfreier und datensparsamer Soft- 
ware gefunden haben. Diese Schulen 
werden im Netzwerk Freie Schulsoftware 
mit anderen Schulen, Lehrkräften und 
Eltern zusammengebracht, die diesbe- 
züglich aufholen möchten. 
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digitalcourage® 


BILDUNGSPAKET 


- Schulen helfen Schulen - 
so funktioniert es 


Freiwillige Helferinnen und Helfer, 
meist Lehrkräfte oder Informatiker. 
innen, bieten über die Projektseite 
https://digitalcourage.de/netzwerk- 
freie-schulsoftware Erfahrungsaus- 
tausch oder Bedienungs- und Installa- 
tionshilfe zu Freier Software an. Hinter 
den Kontaktdaten versteckt sich somit 
ein riesiger Fundus an Erfahrungen und 
Expertise. Schulträger, Schulleitungen, 
Lehrende und Eltern können sich ge- 
zielt an diese Personen wenden und sich 
bei den ersten Schritten helfen lassen. 
Auch allgemeines Informationsmaterial 
zu der Thematik steht auf der Projekt- 
seite bereit. Gibt es noch kein passendes 
Hilfsangebot für ein spezifisches Anlie- 
gen? Dann können Suchende das in ei- 
nem Online-Formular vermerken, damit 
Digitalcourage e.V. seine Fühler nach 
passender Hilfe ausstrecken kann - ein 
geschlossener Kreislauf. 


Die Vorteile: 

« Durch die direkte Kontaktmöglichkeit 
gibt es keine weiteren organisatori- 
schen Hürden. 

« Viele der Helfer.innen kennen die Be- 
dürfnisse, Probleme und Dienstwege 
an Schulen aus eigenen Erfahrungen. 


x 


« Die Kontaktpersonen möchten tat- 
kräftig helfen - ganz unkompliziert, 
kostenfrei und aus Überzeugung. 


- Ein voller Erfolg 


Mittlerweile sind über 1.000 Hilfsan- 
gebote zu über 150 verschiedenen Pro- 
grammen eingegangen: eine richtige 
Schatztruhe an geeigneter Unterrichts- 
software. Es gibt Hilfestellungen zum 
digitalen, gemeinsamen Arbeiten, Kom- 
munizieren, Visualisieren und Lernen. 
Unter den eingetragenen Programmen 
befinden sich viele absolut notwendige, 
aber auch ein paar Dienste für spezielle 
Anwendungsfelder, wie Videoschnitt- 
oder Bildbearbeitungsprogramme. 


- Mithilfe gesucht 


Nun ist es wichtig, dass viele Schulen 
von den Angeboten erfahren und die 
Hilfe an genau den Stellen ankommt, 
die sie benötigen. Digitalcourage e.V. 
bittet um Hilfe bei der Verbreitung des 
Hilfsprojekts, z.B. durch Verteilen von 
Informationsmaterial, das über die Pro- 
jektseite bezogen werden kann. 


Pressekontakt: Jessica Wawrzyniak, 


Digitalcourage e.V., Tel: 0521 1639 1639 
presse@digitalcourage.de 


oe) 


(Übersetzter) Offener Brief von EDRi und anderen vom 
17.03.2022 zur geplanten Verordnung zur Bekämpfung 
des Kindesmissbrauchs 


Sehr geehrte Kommissionspräsidentin Ursula von der Leyen, 
sehr geehrte Vizepräsidentin Margrethe Vestager, 


sehr geehrte Vizepräsidentin Vera Jourovä, 


sehr geehrte Vizepräsidentin Dubravka Suica, 


sehr geehrte Kommissarin Ylva Johansson, 


sehr geehrter Kommissar Thierry Breton, 


sehr geehrter Kommissar Margaritis Schinas, 


Betreff: Schutz digitaler Rechte und Freiheiten bei der Gesetzgebung zur wirksamen Bekämpfung von Kindesmissbrauch 


Die Bekämpfung der Online-Verbrei- 
tung von Material über sexuellen Miss- 
brauch und sexuelle Ausbeutung von 
Kindern (CSAM) ist ein wichtiger Teil 
des umfassenderen globalen Kampfes 
zum Schutz junger Menschen vor sexu- 
ellem Missbrauch und sexueller Ausbeu- 
tung. Dieser Kampf erfordert einen um- 
fassenden Ansatz von Regierungen und 
Unternehmen, um solche ungeheuerli- 
chen Verbrechen zu verhindern, bevor 
sie passieren. Im Zusammenhang mit 
der bevorstehenden EU-Gesetzgebung 
zur wirksamen Bekämpfung von Kindes- 
missbrauch fordern wir die Kommission 
nachdrücklich auf dafür zu sorgen, dass 
die private Kommunikation der Men- 
schen nicht zum Kollateralschaden der 
anstehenden Gesetzgebung wird. 

Die schockierenden Ereignisse der 
letzten drei Wochen haben deutlich ge- 
macht, dass Privatsphäre und Sicherheit 
sich gegenseitig verstärkende Rechte 
sind. Angegriffene Personen sind auf 
Technologien angewiesen, die die Pri- 
vatsphäre wahren, um mit Journalisten 
zu kommunizieren, den Schutz ihrer 
Familien zu koordinieren und für ihre 
Sicherheit und ihre Rechte zu kämpfen. 
Auch in Friedenszeiten ist die Fähigkeit 
der Menschen ohne ungerechtfertigte 
Eingriffe zu kommunizieren - online 
wie offline - von entscheidender Be- 
deutung für ihre Rechte und Freiheiten 
sowie für die Entwicklung dynamischer 
und sicherer Gemeinschaften, der Zivil- 
gesellschaft und der Industrie. 

Wir sind der festen Überzeugung, 
dass wir zusammenarbeiten müssen, 
um langfristige Lösungen für die Ver- 
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breitung von CSAM online zu finden, 
die auf Beweisen beruhen und alle 
Grundrechte und die Rechtsstaatlich- 
keit respektieren. Wir glauben, dass 
der Rückgriff auf schnelle technolo- 
gische „Lösungen“ mit „Wundermit- 
teln“ nicht nur ineffektiv ist, sondern 
zu unbeabsichtigten Folgen für die 
Privatsphäre und Vertraulichkeit der 
Kommunikation jeder einzelnen Per- 
son führen, einschließlich der von 
Kindern und Missbrauchsbetroffenen. 
Die Experten sind sich einig, dass es 
keine Möglichkeit gibt Strafverfol- 
gungsbehörden außergewöhnlichen 
Zugriff auf Ende-zu-Ende verschlüs- 
selte Kommunikation zu gewähren 
ohne Schwachstellen zu schaffen, die 
Kriminelle und repressive Regierun- 
gen ausnutzen können. Die jüngsten 
Pegasus-Skandale haben gezeigt, dass 
das ungehinderte Abhören der Geräte 
von Menschen enorme Risiken birgt 
für Journalisten, Politiker, Menschen- 
rechtsverteidiger und für den Erhalt 
der demokratischen Gesellschaft. 

Die 35 unterzeichnenden Organisa- 
tionen fordern daher die Europäische 
Kommission auf dafür zu sorgen, dass 
die bevorstehende Gesetzgebung zu- 
mindest eine Reihe von zehn sich er- 
gänzenden Menschenrechtsprinzipien 
respektiert, von denen wir die folgen- 
den hervorheben: 
1.Keine Massenüberwachung: Es darf 

niemals ein allgemeines, automati- 

siertes Scannen der privaten Kommu- 
nikation Aller geben, da dies gemäß 
dem Wesen des EU-Rechts eine un- 
verhältnismäßige Praxis ist. Die Ge- 


setzgebung zur wirksamen Bekämp- 
fung des sexuellen Missbrauchs von 
Kindern darf Dienstleister nicht zu 
Maßnahmen oder zur Sicherstellung 
von Ergebnissen veranlassen, die sie 
tatsächlich zum Durchführen solcher 
Mittel zwingen würden. 

2.Eingriffe in die private Kommunika- 
tion von Personen müssen auf Grund 
eines individuellen Verdachts erfol- 
gen: Jeder Eingriff in private Kommu- 
nikation muss, um gerechtfertigt zu 
sein, gemäß einer gesetzlichen Rege- 
lung und unter richterlicher Aufsicht 
auf der Grundlage eines konkreten, 
begründeten und individuellen Ver- 
dachts gerechtfertigt sein. 

3.Die Maßnahmen müssen so wenig wie 
möglich in die Privatsphäre eingreifen 
und sich auf die Erkennung von CSAM 
beschränken: Um dies zu gewähr- 
leisten, sollte der Europäische Daten- 
schutzausschuss (EDPB) Leitlinien zu 
geeigneten Technologien bereitstellen. 
Maßnahmen, die die Verschlüsselung 
brechen oder untergraben (z. B. Client- 
Side Scanning) oder die Cybersicher- 
heitsrisiken schaffen, schaffen weit 
mehr Probleme, als sie lösen können. 


Zivilgesellschaftliche Organisationen 
sind an der Gestaltung der Datenschutz- 
Grundverordnung (DSGVO), der kom- 
menden ePrivacy-Verordnung und der 
Verhinderung illegaler Regelungen zur 
Vorratsdatenspeicherung beteiligt. Wir 
glauben daher, dass eine engere Zusam- 
menarbeit bei dem bevorstehenden Vor- 
schlag dazu beiträgt eine Gesetzgebung 
zu gewährleisten, die für ihren Zweck 
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wirksam, notwendig und verhältnismä- 
Big ist. Dies trägt dazu bei, dass Rechts- 
streitigkeiten vermieden werden, die 
Teile der geplanten Verordnung aufhe- 
ben, die Diensteanbieter dazu zwingen 
würden ohne begründeten Verdacht in 
die private Kommunikation von Men- 
schen einzudringen. 

Als Verteidiger der Menschenrechte 
mit Technikkompetenz weisen wir er- 
neut auf die inhärenten Grenzen jeder 
technologiebasierten „Lösung“ von 
komplexen kriminellen Problemen wie 
die Verbreitung von CSAM hin, die einen 
ganzheitlichen Ansatz erfordern. Um 
das Ziel zu erreichen Kinder zu schüt- 
zen, einschließlich der Verhinderung 
der Entstehung von CSAM, sind soziale 
und menschliche Interventionen min- 
destens so intensiv zu untersuchen wie 
technologiebasierte. 

In einer Gesellschaft, die Demokratie 
und Rechtsstaatlichkeit respektiert, 
dürfen Regierungen nicht Maßnahmen 
um jeden Preis ergreifen. In einer Welt, 
in der jeder Aspekt unseres Lebens zu- 
nehmend digital wird, werden Maßnah- 
men zunehmend gefährlich, die die Pri- 
vatsphäre und Vertraulichkeit der Kom- 
munikation beeinträchtigen. 

Wir hoffen, dass unsere Wortmeldung 
Ihnen bei den letzten Schritten der Ge- 
setzgebung helfen. Wir stehen Ihnen 
hierbei mit Rat und Tat zur Verfügung. 


Mit freundlichen Grüßen 


Leserbrief 


zu: „Mehr Fortschritt wagen - Bündnis für Freiheit, Gerechtigkeit und Nachhaltigkeit”, 


Die unterzeichnenden Organisationen: 


European Digital Rights (EDRi) 

- ApTI (Rumänien) 

Big Brother Watch (Großbritannien) 

- Bits of Freedom (Niederlande) 

- Center for Democracy and Technology 

(CDT) (International) 

Committee to Protect Journalists 

(CPJ) (International) 

Data Rights (Niederlande / Europa) 

- dataskydd.net (Schweden) 

Defend Digital Me (Großbritannien) 

- Deutscher Anwaltverein (DAV) 
(Deutschland) 

- Deutsche Vereinigung für Daten- 
schutz (DVD) (Deutschland) 

- Digitalcourage (Deutschland) 

- Digitale Gesellschaft (Deutschland) 

- Drzavljan D/Citizen D (Slowenien) 

- Electronic Frontier Foundation (EFF) 

(International) 

Electronic Frontier Finland (Effi) 

(Finnland) 

Entropia (Deutschland) 

- European Center for Not-for-Profit 
Law (ECNL) 

- European Sex Workers’ Rights Alli- 
ance (ESWA) 

- Foundation for Information Policy 

Research (FIPR) (Großbritannien / 

European) 

Global Voices (Niederlande / Interna- 

tional) 

- Homo Digitalis (Griechenland) 

- Internet Society Catalan Chapter 


„Datenschutz Nachrichten” 1/2022, S. 18 ff. 


Das Nötige tun, dem Möglichen widerstehen 


Dienoch recht neu im Amt befindliche 
„Ampel”-Koalition ist in nahezu allen 
Politikgebieten durchaus in der Lage 
lange verschleppte Reformen endlich 
aufden Weg zu bringen. Denn sie verbin- 
det im Gegensatz zu vorherigen Bünd- 
nissen verschiedene Flügel und Ideolo- 
gien miteinander, die somit ein Handeln 
nicht nur auf dem kleinsten gemeinsa- 
men Nenner möglich machen, sondern 
tatsächlich weitreichende Transforma- 
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tionen anstoßen können. Dies gilt auch 
für den Bereich der Digitalisierung und 
des Datenschutzes: Mit dem Anteil der 
FDP als einer Verteidigerin der Freiheits- 
und Persönlichkeitsrechte einerseits, 
dem Anspruch der „Grünen“ zum Schutz 
der Bürgerrechte und der vermittelnden 
Position der SPD mit dem Wunsch nach 
einem angemessenen Spielraum des 
Staates zur Aufrechterhaltung von in- 
nerer Sicherheit und Reglementierung 


(ISOC-CAT) (Europa) 

- ISOC Brazil - Brazil Chapter ofthe 
Internet Society (Brasilien) 

- IT-Pol Denmark (Dänemark) 

LGBT Technology Partnership (Inter- 

national) 

Ligue des droits humains (Belgien) 

- Mnemonic (Deutschland / Internati- 
onal) 

- Open Governance Network for Europe 

- Open Rights Group (ORG) (Großbri- 
tannien) 

- Privacy and Access Council of Canada 

- Privacy International (PI) 

Ranking Digital Rights (Internatio- 

nal) 

Tech for Good Asia 

- Vrijschrift.org (Niederlande) 


Das englischsprachige Originaldoku- 
ment kann im Netz abgerufen werden 
unter 
https://edri.org/our-work/private- 
communications-are-a-cornerstone- 
of-democratic-society-and-must-be- 
protected-in-online-csam-legislation/ 
(siehe auch den Hintergrund-Bericht 
aufS. 111). 


andererseits, sind zwar die Vorzeichen 
für schwierige Verhandlungen schon 
jetzt durchaus gesetzt. Allen beteiligten 
Parteien ist allerdings der Wert sensibler 
Daten von deutlich größerem Ansinnen 
als der bisher an der „Großen Koalition” 
mitwirkenden CDU/CSU. 

Zweifelsohne hat man im Koalitions- 
vertrag recht, wenn beispielsweise die 
DSGVO als ein wesentliches Rüstzeug 
und als Rahmen für künftige Einzelge- 
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setze angesehen wird. Gleichermaßen 
hat sich das Regelwerk auch Jahre nach 
seinem Inkrafttreten noch an vielen 
Stellen als wenig praxisnah heraus- 
gestellt. Die Diskussion darüber, wie 
größtmögliches Abschirmen von per- 
sönlichen Daten als grundgesetzlicher 
Auftrag mit dem Wunsch das Leben 
durch Erfassung, Speicherung und den 
Austausch solcher Persönlichkeitsmerk- 
male einfacher gestalten zu wollen, ver- 
einbar ist, erfordert insofern Feingefühl 
und muss abgewogen stattfinden. Denn 
die Offenherzigkeit der Menschen mit 
ihren ureigenen Angaben immer öfter 
hausieren zu gehen und sie in sozialen 
Netzwerken einer breiten Öffentlichkeit 
unbedacht zur Verfügung zu stellen, ist 
tendenziell schon wieder rückläufig. 
Stattdessen haben die verschiedensten 
Skandale um die Zweckentfremdung 
von Daten durch Internetgiganten zu 
einem gesellschaftlichen Umdenken 
und einer neuen Selbstkritik in der Hal- 
tung der Bevölkerung gegenüber den 
eigenen Ansprüchen beigetragen. 
Zweifelsohne: Datenschutz muss an 
den geeigneten Stellen Hürden aufstel- 
len, um in einer modernen Welt aus Da- 


tenfluten die missbräuchliche Nutzung 
sensibler Informationen auf ein ver- 
tretbares Maß zu reduzieren. Gleichsam 
dürfen Datenschutzgesetze gerade in 
heiklen und non-profitablen Bereichen 
nicht zu einer derart ausgeuferten Büro- 
kratie führen, dass wirksames Arbeiten 
mit notwendigen Daten verunmöglicht 
wird. Und so sind Forderungen von Ver- 
einen und gemeinnützigen Organisatio- 
nen nach Entlastungen im Datenschutz 
nachvollziehbar. Unmissverständlich 
zurückgewiesen werden müssen da- 
gegen Überlegungen auf europäischer 
Ebene die Erfassung von biometrischen 
Komponenten weiter zu forcieren und 
deren Sammlung in Datenbanken sogar 
zu zentralisieren. 

Ohnehin: In der Strafverfolgung 
und unter dem Vorwand der inneren 
Sicherheit darf es nicht zu weiteren 
Beschneidungen der persönlichen In- 
tegrität kommen. Im Zweifel muss das 
Verfassungsgericht dort auch künftig 
Grenzlinien ziehen, denn die Daten- 
sammelwut kann sogar auf die Mei- 
nung der Parteien übergreifen, die 
bislang als Bollwerk im Schutz vor dem 
gläsernen Bürger galten. 


Letztendlich hoffe ich, dass sich die 
neue Koalition mit manch exekutiver 
Entscheidung, bei der es um die Daten 
von uns allen geht, deutlich schwerer 
tut als die „Durchwink“-Koalition aus 
Union und SPD der Vergangenheit, die 
viele Brüsseler Vorgaben unkommen- 
tiert passieren ließ. Dass Digitalisierung 
hilfreich sein kann, beweist die Lehre 
aus der aktuellen Corona-Pandemie 
deutlich: Wir hätten uns an vielen Stel- 
len leichter getan und sicher manches 
Leben retten können, wenn Deutschland 
bereits stärker vernetzt gewesen wäre. 
Doch auch bei dieser Forderung darfes - 
wie bei jeder politischen Intervention - 
keine einfachen Antworten geben: So- 
lange Datenverarbeitung im Verhältnis 
steht und überdies einer Mehrheit der 
Menschen zum unmittelbaren Nutzen 
ist, kann sie ein Segen sein. Gleicher- 
maßen wird sie zum Fluch, wenn nicht 
mehr das Nötige zu ihrer Regulierung 
getan wird, sondern die Gier nach Mach- 
barem selbstredend überwiegt. 


Dennis Riehle, Konstanz 


\ Weitere Leserbriefe zu den Themen der 
Datenschutz Nachrichten sind herzlich 


willkommen! 


dvd@datenschutzverein.de 
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Datenschutznachrichten 


Datenschutznachrichten aus Deutschland 


Bund 


Anonymous gegen Rosneft- 
Niederlassung 


Bei einem Angriff auf die deutsche 
Niederlassung des russischen Energie- 
konzerns Rosneft hat das Hackerkol- 
lektiv Anonymous angeblich 20 Tera- 
byte an Daten abgegriffen und die In- 
halte auf Dutzenden Geräten gelöscht. 
Bei den erbeuteten Daten handele es 
sich um „Festplattenimages von Mit- 
arbeiterlaptops und -Rechnern, Fest- 
plattenimages eines Mailservers, viele 
Archiv-Dateien, [...] Software-Pakete, 
Anleitungen, Lizenzschlüssel für Soft- 
ware”. Das Bundesamt für Sicherheit in 
der Informationstechnik (BSI) bestä- 
tigte über einen „IT-Sicherheitsvorfall” 
informiert worden zu sein. Die Behaup- 
tungen von Anonymous kommentierte 
das BSI nicht. Rosneft ist Russlands 
größter Ölproduzent, Aufsichtsrats- 
chef ist trotz des Ukraine-Kriegs wei- 
terhin Ex-Bundeskanzler Gerhard 
Schröder (SPD). 

Gelungen ist der Zugriff gemäß den 
veröffentlichten Screenshots Anfang 
März 2022, also wenige Tage nach Be- 
ginn des russischen Angriffskriegs auf 
die Ukraine. Die Hacker konnten dem- 
nach nicht nur äußerst weit in die in- 
ternen Systeme des Konzerns vordrin- 
gen, sondern dann auch mit großer Ge- 
schwindigkeit Daten abziehen. Wegen 
der großen Menge von insgesamt fast 
25 Terabyte habe das trotzdem lange ge- 
dauert. Am 04.03.2022 sei die Verbin- 
dung dann abgebrochen, warum wisse 
man nicht. Am 10.03.2022 sei dann 
erneut eine Verbindung hergestellt und 
der Download wieder aufgenommen 
worden. Bevor der dann wieder abge- 
brochen worden sei, habe man dank des 
direkt erratenen Security-PINs „1234“ 
noch 59 Apple-Geräte bei Rosneft zu- 
rückgesetzt und Datenbanken gelöscht. 
Die Daten sollen nun analysiert, aber 
nicht veröffentlicht werden. 
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Der deutsche Ableger des größten 
russischen Ölproduzenten war nach 
eigenen Angaben in den vergangenen 
Jahren für rund ein Viertel aller Rohö- 
limporte nach Deutschland zuständig. 
Deswegen gehört das Unternehmen 
zur Kritischen Infrastruktur mit den 
zugehörigen Meldepflichten. Vorfäl- 
le wie der angebliche Einbruch in die 
IT müssen dem BSI mitgeteilt werden. 
Das erfolgte der Behörde zufolge ei- 
nen Tag nach der Veröffentlichung der 
Details auf anonleaks.nl. Das BSI war 
seitdem in Kontakt mit Rosneft und 
gab eine „Cyber-Sicherheitswarnung 
an andere Unternehmen und Organi- 
sationen der Mineralölwirtschaft her- 
aus”. Es seien keine Auswirkungen auf 
die Versorgungslage gefunden worden. 
Laut Anonleaks hatten die Hacker 
„zu keinem Zeitpunkt Zugriff auf kri- 
tische Systemteile oder Steuerungs- 
anlagen”, daran habe man auch kein 
Interesse gehabt (Holland, Angeblich 
20 Terabyte abgezogen: Hackerangriff 
auf deutsche Tochter von Rosneft, 
www.heise.de 14.03.2022, Kurzlink: 
https://heise.de/-6548744). 


Bund 


EU-Vertragsverletzungs- 
verfahren wegen Nicht- 
Umsetzung der DSRI-JI 


Die EU-Kommission wirft der Bun- 
desrepublik Deutschland vor die EU- 
Richtlinie zum Datenschutz in den 
Bereichen Polizei und Justiz (DSRI-JI) 
nicht komplett umgesetzt zu haben 
und hat ein weiteres Vertragsverlet- 
zungsverfahren in der Sache eingelei- 
tet. Sie verweist diesmal auf fehlende 
Vorgaben für die Bundespolizei. Mit 
dem Erhalt des blauen Briefs hat die 
Bundesregierung zwei Monate Zeit, um 
auf das Schreiben zu reagieren und die 
notwendigen Maßnahmen zu ergreifen. 
Sie muss damit die von der Kommission 


festgestellten Verstöße gegen das EU- 
Recht abstellen. Andernfalls droht die 
Brüsseler Regierungsinstitution in der 
zweiten Stufe des Verfahrens eine „mit 
Gründen versehene Stellungnahme“ zu 
übermitteln. 

Die Richtlinie wurde zeitgleich mit 
der stärker im öffentlichen Fokus ste- 
henden Datenschutz-Grundverordnung 
(DSGVO) verabschiedet und in Kraft 
gesetzt. Sie schützt das Grundrecht der 
Bürger auf Privatheit, wenn Strafverfol- 
gungs- und Gefahrenabwehrbehörden 
personenbezogene Daten verarbeiten. 
Die EU-Vorschriften sollen mit ähn- 
lichen Betroffenenrechten wie in der 
DSGVO gewährleisten, dass personen- 
bezogene Informationen von Opfern, 
Zeugen und Verdächtigen angemessen 
geschützt werden. 

Der Bundesdatenschutzbeauftragte 
Ulrich Kelber hatte den Gesetzgeber An- 
fang 2021 ermahnt die Bestimmungen 
endlich in nationales Recht zu gießen. 
Deutschland habe schon damals die Um- 
setzungsfrist um 1.000 Tage überschrit- 
ten. Er könne Datenschutzverstöße so 
etwa bei der Bundespolizei „nur bean- 
standen”, wirksame Durchsetzungsbe- 
fugnisse fehlten. Der Bundestag hatte 
im Juni 2021 zwar einen Entwurf zur 
Reform des Bundespolizeigesetzes be- 
schlossen, mit dem auch die EU-Vorga- 
ben umgesetzt worden wären. Der Bun- 
desrat billigte die Initiative, die etwa 
eine Befugnis zum Einsatz von Staats- 
trojanern enthielt, aber nicht. Er rieb 
sich vor allem an den damit verknüpften 
weiten Einschnitten in die Kompeten- 
zen der Länderpolizeien. Die Kommis- 
sion hatte in dem Umsetzungsstreit be- 
reits 2020 ein erstes Verletzungsverfah- 
ren gegen Deutschland vorangetrieben. 
Dabei ging es darum, dass fünf der 16 
Bundesländer noch keine Maßnahmen 
ergriffen hatten (Krempl, Datenschutz 
bei Polizei: Neues EU-Vertragsverlet- 
zungsverfahren gegen Deutschland, 
www.heise.de 08.04.2022, Kurzlink: 
https://heise.de/-6666483). 
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Bundesweit 


Schufa-Übernahme durch 
EQT im Streit 


Das Bundeskartellamt (BKartA) mit 
Sitzin Bonn hat den Weg freigemacht für 
einen Verkauf der Schufa. Der Name des 
1927 gegründeten Unternehmens steht 
für „Schutzgemeinschaft für allgemeine 
Kreditsicherung“. Das BKartA gab am 
07.02.2022 grünes Licht für zwei Zusam- 
menschlussvorhaben, die zwei Interes- 
senten im Zusammenhang mit dem ak- 
tuellen Bieterwettbewerb um Anteile an 
der Wirtschaftsauskunftei angemeldet 
hatten. Der Präsident des BKartA, An- 
dreas Mundt, erklärte dazu: „Wir prüfen 
in der Fusionskontrolle nur die wettbe- 
werblichen Auswirkungen angemeldeter 
Zusammenschlüsse. Aus dieser Sicht wa- 
ren beide Vorhaben freizugeben.” 

Die eine der Initiativen hatte der 
schwedische Finanzinvestor EQT 2021 
gestartet. Er will bis zu 100% der Antei- 
le und damit die alleinige Kontrolle über 
die Schufa erwerben. Im ersten Schritt 
wollen die Schweden die Anteile der 
französischen Societ& Generale für 200 
Mio. Euro erwerben und anschließend 
die weitere Übernahme vollziehen. Um 
dies zu verhindern, hat die TeamBank 
angekündigt ihre bestehende Minder- 
heitsbeteiligung in Höhe von rund 18% 
an der Schufa aufzustocken. Sie gehört 
zur DZ-Bank-Gruppe. Bei ihr sind die 
Anteile der genossenschaftlichen Volks- 
und Raiffeisenbanken an der Auskunftei 
gebündelt. Die Schufa dient als Datenlie- 
ferant für die gesamte genossenschaftli- 
che Finanzgruppe. Sie ist daher von ho- 
her strategischer Bedeutung. Es liege, so 
die TeamBank, im Interesse der etablier- 
ten Anteilseigner stabile Mehrheitsver- 
hältnisse zu erlangen, um die Neutralität 
der Auskunftei langfristig zu wahren. 

Auch wenn beide Zusammenschlüsse 
und ihre Vorhaben in Konkurrenz zuei- 
nander stehen, ist es laut den Kartell- 
wächtern unter bestimmten Umständen 
möglich solche Pläne parallel zur Fusi- 
onskontrolle anzumelden. Sie müssten 
dazu unter anderem hinreichend defi- 
niert sein. Durch die jetzigen Freigaben 
haben beide Bieter die Möglichkeit die 
Übernahmen fusionskontrollrechtlich 
zu vollziehen. Dem Fortgang des Bieter- 
wettbewerbs liegen, so das BKartA, „al- 
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lein unternehmerische Entscheidungen 
zugrunde”. 

Mit einem Drei-Punkte-Papier für Ver- 
braucherschutz wirbt die EQT für ihren 
Einstieg in den Kreditauskunftsdienst. 
In Gesprächen mit Verbraucherschüt- 
zern, der Politik und Anteilseignern set- 
zen die Skandinavier ein „Verbraucher- 
schutz-Konzept für die Schufa” ein. Die 
drei Kapitel des Dokuments umfassen 
Kulturwandel, Unternehmensführung 
sowie Verbraucherrechte und Daten- 
schutz - wobei der letzte Teil die kon- 
kretesten Vorschläge enthält: unter an- 
derem ein Portal, das dem Verbraucher 
unbeschränkten Gratiszugang zu seinen 
Daten gewähren soll. Nach Auskunft aus 
Finanzkreisen laufen unverändert Ge- 
spräche mit den Miteignern Deutsche 
Bank und Commerzbank. 


- Datenschützer hat keine Probleme 


Der hessische Datenschutzbeauf- 
tragte Alexander Roßnagel, der für die 
Schufa mit Sitz in Wiesbaden zustän- 
dig ist, äußerte keine Bedenken gegen 
einen Verkauf: „Datenschutzrecht gilt 
für die Schufa Holding AG unabhängig 
davon, wie die Aktionäre zusammen- 
gesetzt sind.” Es könne für den Daten- 
schutz von Vorteil ein, dass EOT die 
Transparenz der Datenverarbeitung für 
die betroffenen Personen etwa über 
ein „Datencockpit” erhöhen wolle, eine 
stärkere Orientierung am Verbraucher- 
schutz in Aussicht stelle und verspre- 
che, dass Datensätze nicht außerhalb 
Europas gespeichert würden: „Hinwei- 
se, wie die Bonität verbessert werden 
kann, oder ein elektronisch gestütztes 
Beschwerdemanagement, in dem jede 
betroffene Person Fehler in den Daten 
einfach melden und korrigieren lassen 
kann, sind zukunftsweisend.” Wer sol- 
che Pläne umsetze, „ist für den Daten- 
schutz letztlich weniger entscheidend”. 

Roßnagels Behörde hatte 2018 Pan- 
nen bei der Schufa aufgedeckt. Bei 
einigen Beschwerden ging es darum, 
dass „negative Bonitätsinformationen 
falschen Personen zugeordnet worden” 
seien. Seit Jahrzehnten steht die Schufa 
in der Kritik, weil sie ihre für die Betrof- 
fenen existenziellen Scoreberechnun- 
gen nicht offenlegt, wegen aggressiver 
Werbung und beschönigender Selbst- 
darstellung, wegen einem hinhaltenden 


Service gegenüber den Betroffenen und 
wegen rechtswidriger Speicher- und 
Auskunftspraktiken. Der Europäische 
Gerichtshof (EuGH) prüft momentan, 
ob das Erstellen von Score-Werten der 
Schufa über Individuen und deren un- 
kommentierter Transfer an Dritte wie 
Banken unter Art. 22 der Datenschutz- 
Grundverordnung (DSGVO) fällt (DANA 
4/2021, 267). Dieser besagt, dass 
Personen prinzipiell „nicht einer aus- 
schließlich auf einer automatisierten 
Verarbeitung - einschließlich Profiling 
- beruhenden Entscheidung unterwor- 
fen“ werden dürfen. 


- Eine dubiose Campact-Kampagne 


Die Plattform Campact startete eine 
Kampagne, um den Verkauf der Schufa 
an EQT zu verhindern. Binnen weniger 
Tage unterzeichneten 219.781 Bür- 
ger den Appell an die Eigentümer der 
Auskunftei. Diese sollen demnach ihr 
Vorverkaufsrecht nutzen und dafür 
sorgen, dass keine Schufa-Anteile an 
undurchsichtige Investorengruppen 
gehen. EQT dürfe nicht Zugriff auf Pro- 
file von fast 70 Millionen Menschen in 
Deutschland bekommen. Der Konzern 
habe zwar erklärt Datenschutzinteres- 
sen konsequent zu verfolgen. Berichten 
zufolge gehe es ihm aber vor allem um 
Rendite, so Antonia Becher von Cam- 
pact: „Schufa-Daten sind hochsensibel. 
Sie wirken sich auf unser Leben aus, 
entscheiden, ob jemand eine Wohnung 
bekommt, ein Haus bauen oder ein Un- 
ternehmen starten kann.” Solche wich- 
tigen Informationen dürften nicht zum 
Spielball von Finanzinvestoren werden. 
Zudem müsse die Schufa endlich trans- 
parent machen, „wie sie die Bonität von 
Menschen berechnet. Auch das ist bis- 
lang eine einzige Blackbox.” 

Auf den Hinweis, dass die Angaben 
zur potenziellen Nutzung der Schufa- 
Daten durch EQT einfach falsch sind 
und dass die Planungen von EQT eine 
Verbesserung der Datenschutzsituation 
bei der Schufa versprechen, sah sich 
Campact nicht veranlasst seine Kampa- 
gne zu stoppen; wohl aber wurden die 
Angaben zum Datenschutz relativiert, 
so dass sie nicht mehr rechtlich ange- 
griffen werden konnten. 

Auf die Motivation zum Durchführen 
der Kampagne angesprochen, erklärte 
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Campact, diese gehe ausschließlich auf 
einen Zeitungsartikel zurück, in dem 
behauptet wird, es lägen „vertrauli- 
che Unterlagen“ vor, in denen EQT ver- 
spricht, die Schufa zu einem deutsch- 
europäischen Champion machen zu 
wollen, der die angelsächsische Domi- 
nanz im Bereich der Datenwirtschaft 
aushebeln soll. Letztlich schaue ein Fi- 
nanzinvestor vor allem auf die Rendite. 
Was aus Datenschutzsicht gegen diese 
Planungen spricht, konnte und wollte 
Campact nicht offenlegen, ebenso we- 
nig, wie das Kampagnenbüro die von 
EQT vorgeschlagenen Verbesserungen 
bei der Schufa bewertet. 

Becher von Campact erklärte, die öf- 
fentliche Position von EQT werde durch 
die „internen Papiere, die kürzlich 
Medien zugespielt wurden” widerlegt: 
„Und die machen klar, dass es da haupt- 
sächlich um höhere Rendite geht. EQT 
bleibt einfach ein Finanzinvestor, der 
mit diesen hochsensiblen Daten von 70 
Millionen Deutschen neue datengetrie- 
bene Geschäftsmodelle machen und da- 
mit eben richtig dick Profit erwirtschaf- 
ten will.” 

Auf Nachfrage teilte Campact mit die 
Unterlagen, welche EQT als Heuschre- 
cke entlarven würden, selbst gar nicht 
zu kennen. Angesichts dessen muss das 
Vorgehen von Campact, das viele sinn- 
volle Kampagnen startet, hinterfragt 
werden, wenn es weniger um die Sache, 
als um Effekthascherei gehen sollte. Öf- 
fentliche kritische Kampagnen sollten 
gut recherchiert sein; im Fall von Feh- 
lern sollte die Größe bestehen diese ein- 
zugestehen. Beides ließ Campact bei der 
EQT-Schufa-Kampagne vermissen. 


- Politik mischt sich ein 


Vor dem Hintergrund des Bieterstreits 
um die Schufa forderte Bundesver- 
braucherschutzministerin Steffi Lem- 
ke (Grüne) mehr Transparenz bei der 
Wirtschaftsauskunftei: „Wichtig für die 
Verbraucherinnen und Verbraucher ist 
vor allem, dass die Schufa transparenter 
wird. Dies hatte der Vorstand schon seit 
längerem angekündigt. Die Schufa ist 
eine privatwirtschaftliche Aktiengesell- 
schaft mit mehreren unterschiedlichen 
Anteilseignern.“ Die Übernahme von 
Anteilen an der Schufa Holding AG wer- 
de unter den Anteilseignern und Bie- 
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tern geklärt. Diese Entscheidung gelte 
es abzuwarten: „Egal, wie die Eigentü- 
merstruktur am Ende aussieht, die euro- 
päischen und deutschen Datenschutz- 
Standards gelten für alle Unternehmen 
gleichermaßen. Es reicht nicht, dass 
man abfragen kann, welche Daten über 
einen gespeichert sind. Die Schufa 
sollte auch veröffentlichen, welche In- 
formationen sie wie bewertet. Derzeit 
ist das Zustandekommen des Schufa- 
Scoresimmer noch eine Black Box.” 
Auch der digitalpolitische Sprecher 
der SPD-Bundestagsfraktion, Jens Zim- 
mermann, kann dem möglichen Einstieg 
des Investors etwas Positives abgewin- 
nen. Erglaube, es sei nicht ausgeschlos- 
sen, dass ein neuer Investor bei einem 
altehrwürdigen Unternehmen auch In- 
novation bringen könne: „Und ich glau- 
be, man kann dieses Geschäftsmodell so 
betreiben, dass unsere Daten da sicher 
sind.” Zimmermann gibt aber zu beden- 
ken, dass EQT möglicherweise keine 
langfristigen Ziele verfolgt und seine 
Anteile später an den Meistbietenden 
verkaufen könnte. Wer auch immer das 
sei (vgl. schon DANA 4/2021, 240 ff.; 
Diesteldorf/Scheiber/Wischmeyer, Der 
Kampf um die Schufa, SZ 27.01.2022, 
S. 19; Smolka/Schönauer, EQT wirbt um 
Schufa mit Reformplan, www.faz.net, 
28.01.2022; Krempl, Auskunftei Schufa: 
Kartellamt hat keine Bedenken gegen 
potenzielle Übernahme, www.heise.de 
07.02.2022, Kurzlink: https://heise. 
de/-6352214; Ganswindt, Datenhan- 
del: Schwedischer Investor will Schufa 
übernehmen, www.mdr.de 07.02.2022; 
Verbraucherministerin Lemke fordert 
Schufa zu mehr Transparenz auf, www. 
heise.de 09.02.2022, Kurzlink: https:// 
heise.de/-6360100). 


Bundesweit 


Schufa kündigt 
Transparenzinitiative an 


Die deutsche Auskunftei „Schufa“ ist 
für die Verbraucher in Deutschland eine 
Black Box. Sie hat Daten über nahezu 
jeden Deutschen und entscheidet mit 
ihrer Bewertung der Kreditwürdigkeit 
darüber, ob Menschen einen Kredit für 
eine Immobilie bekommen oder einen 
Handyvertrag erhalten. Wie sich dieser 


Kreditscore zusammensetzt und wie die 
Menschen ihn verändern können, darü- 
ber rätseln in Deutschland auch Exper- 
ten (siehe Meldung oben). 

Tanja Birkholz, die neue Vorstands- 
vorsitzende des mächtigen deutschen 
Unternehmens, das in den letzten 
Jahrzehnten viel Kritik von Verbrau- 
cher- und Datenschützern einstecken 
musste, hat am 25.03.2022 eine Trans- 
parenzoffensive vorgestellt. Demgemäß 
soll in mehreren Schritten die Transpa- 
renz verbessert werden, indem die Aus- 
kunftei zunächst ihre Webseite und ihre 
Ansprache beispielsweise in Briefen an 
die Verbraucher ändert. Diese sollen 
einfacher, verständlicher und weniger 
fachjuristisch sein. Auf der Webseite 
soll es Erklärvideos zu den wichtigsten 
Fragen rund um die Schufa geben. 

Als Herzstück der neuen Strategie 
wurde ein Simulator angekündigt, der 
erstmals in der langen Geschichte der 
Schufa nachvollziehbar machen solle, 
wie sich der Score der Auskunftei zu- 
sammensetzt, welche Merkmale wichtig 
sind und wie die Menschen die Boni- 
tätsbewertung beeinflussen können. 
Die Schufa hatte sich bisher immer ge- 
gen solche Forderungen gewehrt mit der 
Behauptung, dass sich dadurch womög- 
lich die Bewertung manipulieren ließe. 
Birkholz sieht das gemäß einer Präsen- 
tation jetzt angeblich anders. Der Score 
ist eine zentrale Geschäftsgrundlage 
der Schufa. Er bewertet die „Bonität“ 
der Verbraucher: Wie hoch ist die Wahr- 
scheinlichkeit, dass der oder diejenige 
einen neuen Kredit, das Haus oder die 
Wohnung auch zurückzahlen wird? Die- 
se Information errechnet sich aus mehr 
als 100 Merkmalen, beispielsweise der 
Anzahl der Kreditkarten, Girokonten 
oder Kredite, die der Verbraucher in der 
Vergangenheit aufgenommen hat. Die 
Schufa gibt diesen Score an Unterneh- 
men, die wissen wollen, ob ihr Kunde 
seine Rechnungen auch bezahlen kann. 
Deshalb ist er im Alltag der Menschen so 
wichtig. 

Doch wie soll man ihn beeinflussen? 
Und warum ist er mal schlecht und 
mal gut? Dieses Rätsel will die Schufa 
nun ein wenig aufdecken und zeigte, 
wie ihr Simulator aussehen könnte. Bei 
diesem fragt die Schufa bei den Verbrau- 
chern insgesamt sechs Merkmale ab, 
beispielsweise, wann er sein Bankkonto 
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eröffnet hat oder wie viele Kreditkarten 
er besitzt. Der Simulator errechnet an- 
hand dieser Antworten, wie der aktuelle 
Score vermutlich gerade aussieht und 
ordnet ihn im Vergleich zur restlichen 
Bevölkerung ein. Aktuell arbeitet die 
Schufa dafür noch mit Schulnoten, will 
davon aber abrücken. Neben dem er- 
rechneten Beispielscore und der Einord- 
nung soll der Simulator zeigen, wie sich 
der Score in den kommenden Monaten 
entwickeln wird, wenn der Verbraucher 
all seinen Verpflichtungen nachkommt. 
Auch Ereignisse wie einen Umzug sollen 
die Verbraucher im Schufa-Score simu- 
lieren können. All das soll dazu bei- 
tragen, dass die Black Box Schufa sich 
öffnet und Menschen besser verstehen, 
warum sie wie bewertet werden. Mittel- 
fristig, so betont Birkholz, wollen sie 
zudem die Möglichkeit schaffen, dass 
die Verbraucher ihren eigenen Score in 
Echtzeit sehen und womöglich sogar 
beeinflussen können. Das sei aber nicht 
mehr für 2022 geplant, auch weil dafür 
noch viele Dinge zu klären sein, darun- 
ter einige Herausforderungen in der IT 
(Wischmeyer, Schufa will transparenter 
werden, SZ 26./27.03.2022, 28). 


Bayern 
VeRA-Zuschlag für Palantir 


Palantir Technologies GmbH hat ge- 
mäß der Mitteilung des Bayerischen 
Landeskriminalamtes (BLKA) den Zu- 
schlag für das „Verfahrensübergrei- 
fende Recherche- und Analysesystem” 
(VeRA) erhalten. Gemäß dem bayri- 
schen Innenministerium habe kein 
anderes Unternehmen die „sehr stren- 
gen Ausschreibungskriterien” erfüllt. 
Die Analysten des BLKA sollen künftig 
das System der deutschen Tochter des 
umstrittenen US-Datenunternehmens 
Palantir zur Datenauswertung nutzen. 
Mit „VeRA” sollen bereits vorhandene 
Informationen aus verschiedenen, der 
Polizei zur Verfügung stehenden Daten- 
banken verknüpfbar gemacht werden. 
Dazu gehört, wie BLKA-Projektleiter 
Jürgen Brandl erklärte, das Vorgangsbe- 
arbeitungssystem, in dem alle Anzeigen 
und die dazugehörigen Sachverhalte 
gespeichert sind: „Unser Ziel ist, die 
Analysefähigkeit der Polizei zur Be- 
kämpfung und Verfolgung der schwe- 
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ren und organisierten Kriminalität und 
des Terrorismus noch erfolgreicher und 
schneller zu machen.” Neue Daten wür- 
den nicht erhoben. 

Bayern soll damit gemäß den Angaben 
von BLKA-Präsident Harald Pickert Vor- 
reiter für andere Bundesländer sein: „Die 
neue Software kann nicht nur in Bay- 
ern zum Einsatz kommen. Polizeien von 
Bund und Ländern haben jetzt die Mög- 
lichkeit, ohne zusätzliche aufwändige 
Vergabeverfahren dieses innovative Ana- 
lysesystem zu nutzen.” Bayern hat im 
Rahmen eines Bund-Länder-Vorhabens, 
das polizeiliche Verfahren vereinheitli- 
chen soll, federführend die Ausschrei- 
bung übernommen und einen Rahmen- 
vertrag geschlossen. Erneute Vergabe- 
verfahren für die Polizeien von Bund und 
Länder sollen so vermieden werden. 

Der bayerische Landesdatenschutz- 
beauftragte Thomas Petri sprach von 
einem massiven Eingriff in die Grund- 
rechte von „Millionen Menschen“. Die 
akten- und vorgangsübergreifenden 
„Big Data“- und Datamining-Verfahren 
erhöhten die Eingriffsintensität erheb- 
lich. Im Sommer 2020 hatte Privacy 
International vor Überwachungs-Out- 
sourcing bei der Polizei gewarnt. Die 
Sicherheitsbehörden kooperierten häu- 
fig mit privaten Akteuren, darunter Pa- 
lantir, um Bürger auszuspionieren. Dies 
verschlimmere Grundrechtseingriffe. 
Bereits bei der Ausschreibung zu „VeRA” 
waren Datenschutzbedenken laut ge- 
worden, sowie Bedenken angesichts 
einer möglichen Auftragsvergabe an Pa- 
lantir, dem, so Petri, schwerlich vertraut 
werden könne. Der US-Mutterkonzern 
war für US-Geheimdienste und das Pen- 
tagon tätig und wird von Bürgerrecht- 
lern und Datenschützern immer wieder 
kritisiert. Gegründet wurde Palantir von 
dem umstrittenen Tech-Milliardär Peter 
Thiel, der rechtsextreme Politiker, dar- 
unter den ehemaligen US-Präsidenten 
Donald Trump, finanziell unterstützt. 

In Hessen und Nordrhein-Westfalen 
hat die Polizei in der Vergangenheit 
schon Erfahrungen mit Palantir-Soft- 
ware gesammelt. Im April 2020 plan- 
te Hessens Covid-19-Krisenstab mit 
einer Software des US-Unternehmens 
ein umfassendes Lagebild zur Corona- 
Pandemie zu erhalten. Später entschied 
sich die hessische Landesregierung je- 
doch dagegen. Anderthalb Jahre zuvor 


hatte Kritik an der Beschaffung und 
den Funktionen einer Palantir-Software 
der Polizei in Hessen für einen Unter- 
suchungsausschuss gesorgt. Auch die 
Polizei von Nordrhein-Westfalen wollte 
Anfang 2020 das Datenanalyse- und Re- 
cherchesystem von Palantir einsetzen. 
Die Vergabe an Palantir ist Bestandteil 
des Aufbaus des bundesweiten „Da- 
tenhauses Polizei 2020“, mit dem das 
bisherige Verbundsystem von Bund 
und Ländern INPOL (Informationssys- 
tem der Polizei) abgelöst werden soll. 
Das Bundeskriminalamt (BKA) erhielt 
für die Missachtung des Datenschut- 
zes beim Aufbau von „Polizei 2020” im 
Jahr 2022 den BigBrotherAward in der 
Kategorie „Behörden und Verwaltung” 
(Knoblock, Bayerns LKA will umstrit- 
tene Palantir-Software einsetzen, www. 
heise.de 07.03.2022, Kurzlink: https:// 
heise.de/-6541763; zum BigBrother- 
Award https://bigbrotherawards. 
de/2022/behoerden-verwaltung- 
bundeskriminalamt, siehe auch S. 92). 


Bayern 
Spyware Finfisher insolvent 


Die Finfisher GmbH und zwei Partner- 
firmen der Münchner Finfisher Holding 
GmbH - FinFisher Labs GmbH und rae- 
darius m8 GmbH - haben nach einer 
Strafanzeige und anschließenden Kon- 
topfändungen Insolvenz angemeldet 
und den Geschäftsbetrieb eingestellt. 
Im Rahmen des Ermittlungsverfahrens 
aufgrund illegaler Exporte des Staats- 
trojaners Finspy hat die Staatsanwalt- 
schaft die Finfisher-Konten gepfändet. 
Vorangegangen war eine Strafanzeige 
der Gesellschaft für Freiheitsrechte e.V. 
(GFF), Reporter ohne Grenzen (RSF), 
des European Centers for Constutional 
and Human Rights (ECCHR) und Netz- 
politik.org. Sarah Lincoln, Juristin und 
Verfahrenskoordinatorin der GFF erklär- 
te: „Die Finfisher GmbH ist aufgelöst. 
Ihr Geschäft mit illegalen Exporten von 
Überwachungssoftware an repressive 
Regime ist gescheitert. Das ist ein di- 
rekter Erfolg unserer Strafanzeige.” 

Dem Global Spyware Index von 2021 
zufolge war Finfisher Spyware-Markt- 
führer und wird in 33 Ländern einge- 
setzt - dicht gefolgt von der ebenfalls 
stark kritisierten NSO Group. Lediglich 
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6% der Länder, in denen die Finfisher- 
Spyware eingesetzt wurde, sind gemäß 
dem Index echte Demokratien. Mit der 
Spyware von Finfisher und den Part- 
nerfirmen des Unternehmens haben 
Polizei und Geheimdienste weltweit 
Menschen ausfindig machen, ihre Tele- 
fongespräche und Chats mitschneiden 
und sämtliche Handy- und Computer- 
daten auslesen können. Lisa Dittmer, 
Referentin für Internetfreiheit bei RSF: 
„Der Einsatz von Überwachungssoft- 
ware ist ein massiver Eingriff in die 
Persönlichkeitsrechte der Betroffenen, 
der insbesondere in Ländern mit re- 
pressiven Regimen dramatische Folgen 
haben kann - für Journalisten und ihre 
Quellen ebenso wie für Aktivistinnen 
und Oppositionelle.” 

Seit 2015 hat die Bundesregierung 
laut GFF keine Exportgenehmigungen 
mehr für Überwachungssoftware er- 
teilt. Der Export derartiger Software für 
Länder außerhalb der EU ist genehmi- 
gungspflichtig und Verstöße sind straf- 
bar. Dennoch tauchten immer wieder 
aktuelle Finspy-Trojaner in Ländern wie 
der Türkei auf. 2021 forderten ungefähr 
100 Organisationen und Vereine in ei- 
nem offenen Brief ein Moratorium für 
Spyware bis ein Rechtsrahmen verab- 
schiedet und durchgesetzt wird, der die 
Durchführung einer menschenrechtli- 
chen Sorgfaltsprüfung durchsetzt. Mi- 
riam Saage-Maaß, Legal Director beim 
ECCHR: „Bislang konnten Firmen wie 
Finfisher trotz europäischer Exportre- 
gulierung fast ungehindert weltweit 
exportieren. Die strafrechtlichen Er- 
mittlungen waren längst überfällig und 
führen hoffentlich schnell zur Anklage 
und Verurteilung der verantwortlichen 
Geschäftsführer.” 

Die Münchner Staatsanwaltschaft 
ermittelt seit 2019 aufgrund mutmaß- 
lichen Exports des Staatstrojaners. Da- 
mals hieß es, türkische Oppositionelle 
seien mit der Überwachungstechnik 
von Finfisher ausgespäht worden. Das 
Unternehmen warb mit dem „Kampf ge- 
gen Kriminalität“. Es wurde vermutet, 
so die Staatsanwaltschaft, dass Finspy 
„ohne die erforderliche Ausfuhrgeneh- 
migung des Bundesamtes für Wirtschaft 
und Ausfuhrkontrolle ausgeführt wor- 
den sein könnte“. Inzwischen sei unter 
dem Firmennamen keiner mehr zu errei- 
chen, die Briefkästen seien zugeklebt. 
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An der Überwachungsmesse ISS World 
in Dubai Anfang März hatte Finfisher 
einer Messe-Sprecherin zufolge „nicht 
teilgenommen, nicht bezahlt und nicht 
abgesagt“. Die Finfisher Holding GmbH 
wird zwar seit 2019 als Vilicius Holding 
GmbH weitergeführt, allerdings hat die 
Holding nichts mehr mit der Finfisher 
GmbH zu tun. Laut Insolvenzverwalter 
sind alle Mitarbeiter entlassen (Koch, 
FinFisher: Die Firma des Staatstrojaners 
„FinSpy” gibt es nicht mehr, www.heise. 
de 28.03.2022, Kurzlink: https://heise. 
de/-6655040). 


Brandenburg 


Polizeizugriff auf Luca- 
Corona-Aufenthaltsdaten 


Die Polizei des Landes Brandenburg 
hat seit September 2020 Zugriffsrechte 
auf Gästelisten von Restaurants, Ca- 
fes, Hotels, Freizeiteinrichtungen und 
Geschäften sowie auf Mobilanwendun- 
gen, die aus der Corona-Kontaktnach- 
verfolgung aus der Luca-App stammen. 
Möglicherweise in Unkenntnis dessen 
regte Brandenburgs Justizministerin 
Susanne Hoffmann (CDU) Anfang 2022 
an im Kampf gegen schwere Verbrechen 
diese personenbezogenen Daten zu 
nutzen. Gemäß dem Polizeipräsidium 
Potsdam besteht eine mit der General- 
staatsanwaltschaft abgestimmte Rege- 
lung, „dass in einem solchen Falle der 
im konkreten Strafverfahren zuständige 
Verfahrensstaatsanwalt einen Entschei- 
dungsvorbehalt hat“. 

Hoffmann hatte im Rechtsausschuss 
des brandenburgischen Landtags zwei 
Wochen zuvor noch von einer „unsi- 
cheren Rechtslage” gesprochen. Das 
Infektionsschutzgesetz des Bundes 
spreche nur vom „Ausschluss der Wei- 
terverwendung von Verantwortlichen 
und zuständigen Stellen” und enthalte 
„keine Ausführungen zur Frage des Zu- 
griffs von Strafverfolgungsbehörden”. 
Es ist unklar, ob brandenburgische Er- 
mittler Corona-Kontaktdaten tatsäch- 
lich abgefragt haben. Ein Sprecher des 
Polizeipräsidiums Potsdam erklärte, 
ihm persönlich sei kein Fall bekannt. 
Die Justizministerin meinte im Landes- 
parlament, dass notfalls die Gerichte 
entscheiden müssten. 


Das Bundesjustizministerium hält 
dagegen unter Verweis auf das Infek- 
tionsschutzgesetz den brandenbur- 
gischen Ansatz für klar rechtswidrig: 
Ein Zugriff auf Daten der Luca-App zu 
Zwecken der Strafverfolgung versto- 
ße „gegen ausdrückliche Bestimmun- 
gen des Bundesrechts“. Für Branden- 
burgs Datenschutzbeauftragte Dagmar 
Hartge ist die Rechtslage ebenfalls 
eindeutig: Die Kontaktdaten dürften 
nur erhoben und verarbeitet werden, 
„soweit dies zur Nachverfolgung von 
Kontaktpersonen zwingend notwendig 
ist“. Die Verantwortlichen müssten si- 
cherstellen, „dass eine Kenntnisnahme 
der erfassten Daten durch Unbefugte 
ausgeschlossen ist”. Das Interesse der 
Strafverfolger sei zwar verständlich. 
Wenn der Rechtsstaat aber eine klare 
Ansage gemacht habe, „dann muss es 
auch so sein“. 

Die Firma Nexenio, die zusammen mit 
der Band Fanta4 hinter der Luca-App 
steht, reagierte auf die brandenburgi- 
sche Debatte: „Daten sind nicht zentral 
in einem Luca-System lesbar gespei- 
chert. Luca kann und will nicht auf die 
Daten der Kontaktnachverfolgung zu- 
rückgreifen und kann sie auch nicht an 
Ermittlungsbehörden rausgeben.” Es sei 
nur im Infektionsfall möglich die Infor- 
mationen zur Verfügung zu stellen. Und 
dies auch nur dann, „wenn das jeweilige 
Gesundheitsamt und der jeweilige Be- 
trieb gleichzeitig ihr Einverständnis er- 
teilen und ihre individuellen Schlüssel 
anwenden”. 

Eine Umfrage des Rundfunksenders 
rbb bei den Justizbehörden aller Bun- 
desländer ergab, dass nur Bremen und 
Rheinland-Pfalz die Rechtsauffassung 
von Brandenburg teilen. Rheinland- 
Pfalz besteht demnach aber vor der Nut- 
zung der Daten auf einem richterlichen 
Beschluss, seit der Mainzer Fall bun- 
desweit für Aufsehen gesorgt hatte und 
der Landesdatenschutzbeauftragte das 
Vorgehen der Strafverfolger untersucht 
(DANA 1/2022, 38). Experten raten ge- 
gebenenfalls auf die Check-in-Funktion 
der Corona-Warn-App zu setzen. Dort 
ist aufgrund des dezentralen Ansatzes 
eine Datenabfrage nicht möglich (Krem- 
pl, Luca und Gästelisten: Polizei Bran- 
denburg hat Lizenz für Datenabfragen, 
www.heise.de 24.02.2022, Kurzlink: 
https://heise.de/-6525210). 
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Bremen 


Millionenbußgeld 
gegen Brebau wegen 
Diskriminierung 


Die Bremer Datenschutzbeauftragte 
Imke Sommer hat auf Basis der Daten- 
schutz-Grundverordnung (DSGVO) ein 
Bußgeld von 1,9 Millionen Euro gegen 
die Bremer Wohnungsbaugesellschaft 
Brebau verhängt, weil diese Mietinter- 
essenten anhand überschüssiger Infor- 
mationen in verschiedene Klassen ein- 
teilte und sich damit Rassismusvorwürfe 
einhandelte. Mehr als 9.500 Daten von 
Mietinteressenten habe die Brebau ohne 
Rechtsgrundlage verarbeitet. Dabei habe 
es sich etwa um Informationen über 
Frisuren, Körpergeruch und das persön- 
liche Auftreten gehandelt, was für den 
Abschluss von Mietverhältnissen nicht 
erforderlich sei: „Bei mehr als der Hälfte 
der Fälle handelte es sich darüber hinaus 
um Daten, die nach der DSGVO besonders 
geschützt sind.“ Die Tochtergesellschaft 
der Stadt Bremen erfasste demnach auch 
Informationen über die Hautfarbe, die 
ethnische Herkunft, die Religionszuge- 
hörigkeit, die sexuelle Orientierung und 
über den Gesundheitszustand. Zudem 
habe die Brebau Anträge Betroffener auf 
Transparenz über die Verarbeitung ihrer 
Daten bewusst unterlaufen. 

Reporter des regionalen TV-Magazins 
„buten un binnen” hatten 2021 aufge- 
deckt, dass das Unternehmen Menschen 
nach Herkunft und äußeren Merkma- 
len kategorisierte. Die Abkürzung E40 
stand demnach etwa für Farbige. Ein 
Vermerk mit der Abkürzung KT legte 
nahe, dass Bewerberinnen Kopftuch 
trugen. Angesichts der „außerordent- 
lichen Tiefe der Verletzung des Grund- 
rechts auf Datenschutz” wäre laut Som- 
mer eigentlich „eine deutlich höhere” 
Strafe angemessen gewesen. Davon 
habe sie abgesehen, weil die Brebau im 
Aufsichtsverfahren „umfassend koope- 
rierte” und sich um Schadensminde- 
rung sowie eigene Aufklärung des Sach- 
verhalts bemüht habe. Die öffentliche 
Gesellschaft habe zudem Maßnahmen 
ergriffen, „dass entsprechende Verstö- 
ße sich nicht wiederholen“. 

Auf Grund des Vorgangs mussten un- 
ter anderem zwei Führungskräfte ge- 


108 


hen. Ein vom Aufsichtsrat beauftragter 
Sonderermittler kam zu dem Ergebnis, 
dass bei der Brebau kein struktureller 
Rassismus vorgeherrscht habe. Sommer 
erklärte, sie sei im Kontext der öffentli- 
chen Diskussion über den Fall häufig ge- 
fragt worden, ob die DSGVO Diskriminie- 
rungen verbietet. Darauf gäbe es keine 
einfache Antwort, weil die Verordnung 
in spezifischer Weise auf Sachverhalte 
schaue. Prinzipiell sei es demnach aber 
nur in wenigen Ausnahmefällen über- 
haupt erlaubt Daten über Hautfarbe, 
ethnische Herkunft, Religionszugehö- 
rigkeit, sexuelle Orientierung und über 
den Gesundheitszustand zu verarbei- 
ten. Gar nicht erst erhobene Informati- 
onen könnten folglich auch nicht miss- 
braucht werden. In diesem Sinne schüt- 
ze die DSGVO vor Diskriminierungen. Der 
Datenschutzexperte der FDP-Fraktionin 
Bremen, Magnus Buhlert, begrüßte die 
Sanktion: Es sei gut, dass die Aufsichts- 
behörde „ohne Ansehen der juristischen 
Personen entschieden hat“. Die Brebau 
müsse „auch als staatliches Unterneh- 
men für ihre Verfehlungen geradeste- 
hen. Theoretisch wäre sogar eine höhere 
Strafzahlung möglich gewesen” (Krem- 
pl, Mieterdiskriminierung: Brebau muss 
knapp 2 Millionen DSGVO-Strafe zahlen, 
www.heise.de 04.03.2022, Kurzlink: 
https://heise.de/-6539624). 


Nordrhein-Westfalen 


Anwaltsdaten ungeschützt 
in Internet-Cloud 


Der Anwalt Matthias Bauer, LL.M., be- 
kannt dafür, dass er Darknet-Shopper, 
AfD-Politiker und Burschenschafter 
vertritt, hat Dokumente seiner Mandan- 
ten offen im Netz gespeichert. Brauer 
hat sich für seine Bonner Kanzlei unter 
anderem die Webseite darknet-anwalt. 
de gesichert: „Fernab von klassischem 
Strafrecht beschäftigte ich mich schon 
früh mit neuen Medien und betreute 
verstärkt Mandanten aus dem Bereich 
der Internetkriminalität.“” Dass seine 
Mandanten mit ihm offenbar bisher zu- 
frieden waren, zeigt die Bewertung bei 
anwalt.de: 5 von 5 Sternen. Der Tages- 
zeitung taz wurde aber bekannt, dass 
Brauer Unmengen vertraulicher Man- 
dantenakten unverschlüsselt und ohne 


Passwortschutz über Dropbox, einem 
Cloud-Speicher, im Netz abgelegt hat. 
Über den Link konnten im Browser ohne 
weitere Hürden mehr als 1.500 Ordner 
der Kanzlei abgerufen werden, wobei in 
der Regel jedem Ordner ein Fall mit teils 
tausenden Seiten zugeordnet war. Die 
mehr als 100 Gigabyte an Daten umfass- 
ten den Zeitraum 2016 bis März 2022. 

Es ist unklar, ob der Dropbox-Link öf- 
fentlich kursierte und wer evtl. Zugriff 
auf die Dateien nahm. Es handelt sich in 
jedem Fall um einen eklatanten Verstoß 
gegen den Datenschutz und das An- 
waltsgeheimnis. Das Datenleck ist auch 
wegen der politischen Ausrichtung des 
Anwalts relevant. In den Daten finden 
sich Unterlagen zu Presserechts-Strei- 
tigkeiten, unter anderem mit der taz. 
Brauer vertritt etwa den rechtsextremen 
Verein „Ein Prozent”, die rechtsextreme 
Identitäre Bewegung, rechte Burschen- 
schaften und nach eigenen Angaben in 
mehr als 100 Fällen Fraktionen, Partei- 
gliederungen und einzelne Politiker der 
AfD, auch in parteiintern Auseinander- 
setzungen, sowie einzelne rechte und 
rechtsextreme Personen wegen unter- 
schiedlichen Straftaten. Auch die Daten 
mutmaßlicher Opfer standen offen im 
Netz, etwa private Daten von Personen, 
die gegen die AfD demonstriert haben. 

Brauer arbeitet u.a. für die Kanzlei 
von Enrico Komning, der für die AfD im 
Bundestag sitzt und dem völkisch-na- 
tionalen Flügel der Partei zugerechnet 
wird. Brauer war auch selbst in der AfD 
aktiv, als Justiziar war er Mitglied des 
Landesvorstands Rheinland-Pfalz. Zuvor 
war er als Burschenschafter aufgefallen, 
der weit rechts außen steht. Nachdem er 
2007 in Ku-Klux-Klan-Manier unter „Hail 
White Power”-Rufen ein Holzkreuz ver- 
brannte, wurde Brauer aus der Burschen- 
schaft Marchia Bonn ausgeschlossen. 
Er trat dann den radikaleren Raczeks in 
Bonn bei und ist auch Mitglied der Ru- 
gia Greifswald, bei der der Verfassungs- 
schutz „rechtsextremistische Bezüge” 
sieht. Im 2011 begonnenen Richtungs- 
streit des Dachverbandes Deutsche Bur- 
schenschaft sprach sich Brauer für den 
„Arierparagraf” aus, nach welchem die 
Mitgliedschaft in einer Burschenschaft 
an völkische und rassistische Kriterien 
geknüpft werden sollte. 

Rechtsanwälte sind als Berufsgeheim- 
nisträger besonders verpflichtet vor- 


DANA ® Datenschutz Nachrichten 2/2022 


sichtig mit ihnen anvertrauten Daten 
umzugehen. & 203 des Strafgesetzbu- 
ches sieht für die „Verletzung von Pri- 
vatgeheimnissen” bis zu ein Jahr Haft 
oder Geldstrafe vor. Gemäß der Bundes- 
rechtsanwaltsordnung ist Verschwie- 
genheit eine berufliche Grundpflicht, 
wozu es auch gehört die Daten zu den 
Mandanten sorgfältig zu schützen. 
In der Dropbox waren sensible Daten 
gespeichert: Adressen, Geburtsdaten 
und Telefonnummern von Mandanten, 
Notizen und Schriftsätze des Anwalts 
und Schreiben von Justizbehörden, 
komplette Ermittlungsunterlagen, die 
dem Anwalt im Zuge der Akteneinsicht 
zur Verfügung gestellt wurden, also 
etwa Befragungen von Beschuldigten, 
Opfern und Zeugen. Es geht um unter- 
schiedliche, kleine und komplexe Fälle: 
Drogendelikte, Diebstahl, Betrug, Fah- 
rerflucht, Körperverletzung und Sexu- 
alstraftaten einschließlich Fälle soge- 
nannter Kinderpornographie. 

Da die Dateien in einer Dropbox ge- 
speichert sind bzw. waren, liegen sie in 
der Regel auf Servern in den USA, was 
mit europäischem Datenschutz prin- 
zipiell nicht kompatibel ist, weil nicht 
ausgeschlossen werden kann, dass US- 
Behörden Zugang zu den Daten haben. 
Es gibt verschiedene einfache Möglich- 
keiten eine Dropbox so abzusichern, dass 
Unbefugte nicht durch simples Aufrufen 
eines Links darauf zugreifen können. 
Anwälte werden von Berufsverbänden 
und Kammern regelmäßig auf ihre Ver- 
antwortung für die Datensicherheit ihrer 
Mandantendaten hingewiesen. Die Drop- 
box wurde dafür benutzt von außerhalb 
des IT-Systems der Kanzlei auf Doku- 
mente zugreifen zu können. Der Anwalt 
hatte den Link zu seiner Dropbox offen- 
bar selbst verschickt, unter anderem an 
sein Sekretariat, wie sich aus Mails in der 
Dropbox ergibt. Auch Mandanten wurde 
demgemäß per Link Zugang zu einzelnen 
Unterordnern gewährt. 

Die nordrhein-westfälische Daten- 
schutzbeauftragte wurde über das Leak 
informiert. Der Sprecher der NWR-Da- 
tenschutzbehörde, Daniel Strunk, er- 
klärte, nach Ermittlung und Bewertung 
des Sachverhalts werde man „die an- 
gemessenen Aufsichtsbefugnisse aus- 
üben“. Die Datenschutzbehörde kann 
hohe Bußgelder verhängen. Zudem 
müssen laut Datenschutz-Grundver- 
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ordnung die betroffenen Personen vom 
Verantwortlichen informiert werden, 
sofern das Datenleck für sie voraus- 
sichtlich ein hohes Risiko zur Folge hat. 
Gemäß Strunk ist der Fall einzigartig; es 
habe in den vergangenen Monaten wohl 
eine Handvoll Meldungen von Steuerbe- 
ratern, Kanzleien und Rechtsanwälten 
gegeben, bei denen um es um Hacker- 
angriffe auf Mailserver ging - aber ohne 
Hinweise auf Datenabflüsse. 

Karina Nöker, die Geschäftsführe- 
rin der für Brauer zuständigen Kölner 
Rechtsanwaltskammer, konnte sich auf 
Anfrage an keinen vergleichbaren Da- 
tenschutzverstoß von Anwälten erin- 
nern: „Wir werden dies zum Anlass neh- 
men, ein berufsrechtliches Verfahren 
einzuleiten.” Der Berliner Rechtsanwalt 
Niko Härting, beim Deutschen Anwalts- 
verein in den Ausschüssen für Informa- 
tionsrecht, Berufsrecht sowie Berufs- 
ethik, meinte: „Das ist der Super-Gau, 
wenn Kanzlei-Daten in andere Hände 
geraten. Das darf nicht passieren” (Erb/ 
Schulz, Nazi-Anwalt ohne Datenschutz, 
taz.de 31.03.2022, https://taz.de/ 
taz-Recherche-zu-Leak-sensibler- 
Daten/!5845365/). 


Saarland 


Grethel erneut zur Daten- 
schutzbeauftragten 
gewählt 


Die Juristin Monika Grethel ist vom 
Landtag in Saarbrücken für weitere 
sechs Jahre zur Landesbeauftragten 
für Datenschutz und Informationsfrei- 
heit im Saarland gewählt worden. Sie 
erhielt nach erfolgter Ausschreibung 
am 16.02.2022 von 44 abgegebenen 42 
Stimmen. Grethel hat das Amt seit dem 
01.04.2016 inne. Bevor die parteilose 
Juristin 2010 zur saarländischen Da- 
tenschutzaufsicht als Referatsleiterin 
stieß, war sie Verwaltungsrichterin. 
Sie leitet damit das Unabhängige Da- 
tenschutzzentrum Saarland als Auf- 
sichtsbehörde des Bundeslands. Die 
Landesbeauftragte für Datenschutz 
überwacht die Einhaltung der Daten- 
schutz-Vorschriften bei öffentlichen 
und nicht-öffentlichen Stellen. Jeder, 
der sich durch die Datenverarbeitung 
in seinen Rechten verletzt sieht oder 


der sein Recht auf Informationszu- 
gang durch eine öffentliche Stelle als 
verletzt ansieht, kann sich an die Lan- 
desbeauftragte wenden. Ihr stehen 
umfassende Auskunfts-, Einsichts- 
und Zutrittsrechte zu (Kirch, Monika 
Grethel erneut zur Datenschutz-Beauf- 
tragten des Saarlandes gewählt, www. 
saarbruecker-zeitung.de 16.02.2022; 
Schulzki-Haddouti, Datenschutzbe- 
auftragte Saarland: Auf kleiner Flam- 
me, www.iitr.de 30.11.2016). 


Sachsen 
Hundert folgt Schurig 


Am 21.12.2021 wurde Frau Dr. Juliane 
Hundert als Nachfolgerin von Andreas 
Schurig zur Sächsischen Datenschutz- 
beauftragten gewählt. Schurig hatte 
das Amt seit 2004 inne. Die Sächsische 
Datenschutzbeauftragte ist für Sachsen 
die Datenschutz-Aufsichtsbehörde nach 
Artikel 51 Absatz 1 der Datenschutz- 
Grundverordnung (DSGVO). Dies ergibt 
sich im Hinblick auf nicht-öffentliche 
Stellen aus & 14 Absatz 2 des Sächsi- 
schen Datenschutzdurchführungsge- 
setzes (SächsDSDG); im Hinblick auf 
öffentliche Stellen aus $ 14 Absatz 1 
desselben Gesetzes. 

Hundert legte im Juni 1995 ihr Abitur 
am Franziskaneum in Meißen ab. Von 
1995 bis 2001 studierte sie Rechtswis- 
senschaft an der Friedrich-Schiller-Uni- 
versität Jena. Ihr anschließendes Refe- 
rendariatin Dresden schloss sie 2003 mit 
dem 2. Juristischen Staatsexamen ab. 
Von 2003 bis 2004 war sie als angestellte 
Rechtsanwältin in Dresden, danach bis 
2010 als Referentin beim Sächsischen 
Datenschutzbeauftragten tätig. 2009 
promovierte Hundert zum Thema „Die 
Rückabwicklung des finanzierten Bei- 
tritts zu einer Publikumsgesellschaft” 
an der Friedrich-Schiller-Universität. 
Nach einer kurzen anschließenden Tä- 
tigkeit im Sächsischen Staatsministeri- 
um für Soziales war Hundert seit Januar 
2011 als Parlamentarische Beraterin bei 
der Fraktion Bündnis 90/Die Grünen des 
Sächsischen Landtags in den Fachberei- 
chen Innenpolitik, Kommunales, Daten- 
schutz und Justiziariat tätig; seit 2015 
leitete sie das Fraktions-Justiziariat 
(v.a. Wikipedia https://de.wikipedia. 
org/wiki/Juliane_Hundert). 


109 


Datenschutznachrichten aus dem Ausland 


EU 


Europol erhält mehr 
Kompetenzen 


Das Kerngeschäft der europäischen 
Strafverfolgungsbehörde Europol mit 
ihren ca. tausend Mitarbeiterinnen und 
Mitarbeitern in Den Haag befasst sich 
vorwiegend damit Daten zu beschaf- 
fen, zu sichten und zu sortieren. Mit 
dem Erstellen von Lageanalysen hel- 
fen sie den Mitgliedstaaten der EU bei 
der Bekämpfung schwerer Formen der 
internationalen Kriminalität. Europol 
wurde 1998 gegründet und ist seit 2010 
offiziell eine Agentur der Europäischen 
Union (EU). Je mehr sich die Krimina- 
lität ins Internet verlagert, desto um- 
fangreicher wird ihre Arbeit. Von Kriti- 
kern wird Europol als „Datenkrake” und 
„Datenmonster” bezeichnet, auch weil 
sich die Behörde mit ihrer Arbeit oft 
am Rand der Legalität bewegt. Dies soll 
nun geändert werden. 

Vertreter des Europaparlaments 
und der 27 EU-Staaten haben sich am 
01.02.2022 darauf geeinigt ihr Mandat 
u.a. im Umgang mit personenbezogenen 
Daten deutlich zu erweitern. Den ur- 
sprünglichen Vorschlag dafür hatte die 
EU-Kommission im Jahr 2020 unter dem 
Eindruck mehrerer terroristischer An- 
schläge gemacht. Die Behörde soll dem- 
nach Innovationstreiber auf dem Gebiet 
der Datenanalyse werden und Anwen- 
dungen der künstlichen Intelligenz für 
die Ermittlungsarbeit entwickeln. Sie 
soll mehr Kompetenzen bei der Analyse 
großer Datensätze bekommen. Wenn es 
um Terrorismus und Kindesmissbrauch 
geht, soll Europol auch Daten von Dritt- 
staaten annehmen dürfen, egal welche 
Datenschutzbestimmungen dort gelten, 
ebenso Daten von Privatunternehmen. 
Das könnten z.B. soziale Netzwerke 
sein, die Chatprotokolle von verdäch- 
tigen Nutzern zur Verfügung stellen. 
Auch personenbezogene Angaben dürf- 
ten von Europol angenommen werden. 

Datenschützer sehen die neuen 
Regelungen als rückwirkende Legiti- 
mierung von illegalen Praktiken Eu- 
ropols. Der Europäische Datenschutz- 
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beauftragte Wojciech Wiewiörowski 
hatte Europol erst einige Wochen vor 
der Einigung aufgefordert massenhaft 
vorhandene persönliche Daten - offen- 
bar vier Petabyte aus laufenden und 
abgeschlossenen Ermittlungsverfah- 
ren - zu löschen, die der Behörde von 
den Mitgliedstaaten zugeschickt wor- 
den waren. Eigentlich müssten Daten 
von Personen nach sechs Monaten ge- 
löscht werden, wenn keine Verbindung 
zu einer kriminellen Aktivität nachge- 
wiesen werden kann. Es sieht aus, als 
habe die Behörde selbst den Überblick 
über den Wust an Informationen verlo- 
ren. Das Büro von Wiewiörowski hatte 
im Jahr 2019 eine Untersuchung dazu 
eingeleitet, wie Europol mit persönli- 
chen Daten verfährt, und die Behör- 
de seither mehrmals zu Änderungen 
aufgefordert. Die Daten sind bis heute 
nicht gelöscht und dürfen offenbar im 
Rahmen der neuen Regeln weiterver- 
wendet werden. Die neue Löschfrist 
soll 18 Monate betragen. 

Die EU-Kommission und die Mit- 
gliedsländer behaupten, sie würden 
mit der Änderung für Rechtssicherheit 
sorgen, so z.B. EU-Innenkommissarin 
Ylva Johansson: „Europol braucht mo- 
derne Mittel, um die Polizei bei ihren 
Ermittlungen zu unterstützen”. Das 
vereinbarte Mandat bekräftige die Rol- 
le der Agentur als globale Vorreiterin 
bei der Entwicklung neuer Technologi- 
en für die Strafverfolgung, bei Verhü- 
tung und Aufklärung von Straftaten, 
aber auch beim Schutz von Grundrech- 
ten wie dem Schutz personenbezoge- 
ner Daten. 

Der Europäische Datenschutzbeauf- 
tragte soll nur rückwirkend Einblick 
erhalten in die Art und Weise, wie die 
Behörde mit personenbezogenen Daten 
umgeht, was Amtsinhaber Wiewiörow- 
ski kritisiert: „Die Ausweitung der Be- 
fugnisse von Europol geht nicht Hand 
in Hand mit einer verstärkten Kontrolle 
der Maßnahmen der Agentur.” Die im 
Vorschlag enthaltenen Bestimmungen 
seien eine „direkte Bedrohung” für die 
Rolle der Aufsichtsbehörde (Kelnber- 
ger, Freifahrtschein für Europol, SZ 
03.02.2022, 6). 


EU 


Datenschutzbeauftragter 
kritisiert polizeiliche 
Datenaustauschpläne 


Der EU-Datenschutzbeauftragte 
(EDSB) Wojciech Wiewiörowski fordert 
Korrekturen am Entwurf zur Erweite- 
rung des Prümer Vertrags in Bezug auf 
den Austausch biometrischer Daten. Die 
Initiative der EU-Kommission für eine 
Verordnung „über den automatisierten 
Datenaustausch für die polizeiliche Zu- 
sammenarbeit”, mit welcher der Prümer 
Vertrag von 2005 erweitert werden soll, 
schießt demnach über ihr Ziel hinaus. 
Ihr fehlten „wesentliche Elemente in 
Bezug aufseinen sachlichen und persön- 
lichen Anwendungsbereich”. Mit dem 
Prüm-Rahmen können Polizeibehörden 
in den angeschlossenen Mitgliedsstaa- 
ten DNA-, Fingerabdruck- und Fahrzeug- 
registerdaten elektronisch austauschen 
und abgleichen. Nationale Datenbanken 
werden vernetzt. Künftig sollen auch 
Fahndungsfotos oder biometrische 
Lichtbilder aus Polizeiregistern einbe- 
zogen werden, die eine automatisierte 
Gesichtserkennung unterstützen. 

Die Kommission hat es gemäß Wie- 
wiörowski versäumt die Arten von 
Straftaten, die eine Abfrage rechtferti- 
gen können, zu bestimmen. Dies gelte 
auch für die Kategorien der Personen, 
die von dem automatischen Datenaus- 
tausch betroffen sind. Er verlangt, dass 
insbesondere der automatisierte Abruf 
von DNA-Profilen und Gesichtsbildern 
nur im Zusammenhang mit einzelnen 
Ermittlungen bei schweren Straftaten 
möglich sein sollte. Die Kommission will 
solche Abgleiche sensibler Daten bei 
sämtlichen Delikten zulassen. Darüber 
hinaus ist der EDSB nicht von der Not- 
wendigkeit des in der „Prüm-II-Verord- 
nung“ vorgeschlagenen automatisier- 
ten Abrufs und Austauschs von Daten 
aus polizeilichen Aufzeichnungen über- 
zeugt. Er unterstreicht, dass strenge 
Sicherheitsvorkehrungen erforderlich 
seien, um die damit verbundenen Risi- 
ken für die Datenqualität anzugehen. 
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Wiewiörowski äußerte schwere Be- 
denken bzgl. der Verhältnismäßigkeit 
des Vorhabens. Diese erstrecken sich 
auch auf die Einbeziehung von Europol 
in den Prüm-Ansatz. Die Polizeibehör- 
de in Den Haag solle nur eingeschränkt 
Big-Data-Analysen durchführen dürfen. 
Ihm zufolge müssen die dortigen Er- 
mittler künftig binnen sechs Monaten 
klären, ob es ihnen gestattet ist erhal- 
tene personenbezogene Informatio- 
nen längerfristig zu speichern und zu 
verwenden. Daten mit unklarem Status 
sind im Anschluss zu löschen. Die EU- 
Länder und das Europäische Parlament 
haben sich aber schon auf einen ande- 
ren Verordnungsentwurf verständigt, 
mit dem das Mandat für Europol deut- 
lich ausgeweitet werden soll. Nach der 
Position beider Gremien werden die von 
der Aufsichtsbehörde als rechtswidrig 
gebrandmarkten Praktiken weitgehend 
legalisiert. 

Teil des kritisierten Gesetzespakets 
der Kommission für die stärkere polizei- 
liche Kooperation ist auch ein Entwurf 
für eine Richtlinie über den Informa- 
tionsaustausch. Wiewiörowski hält es 
hier für unerlässlich den persönlichen 
Anwendungsbereich der speziellen Be- 
fugnisse klar zu definieren. Auf jeden 
Fall müssten die Kategorien personen- 
bezogener Daten über Zeugen und Op- 
fer, die ausgetauscht werden können, 
begrenzt werden. Der Kontrolleur kriti- 
siert zudem die geplante Dauer der Spei- 
cherung personenbezogener Daten in 
den Fallverwaltungssystemen der ein- 
heitlichen Ansprechpartner sowie die 
skizzierte Rolle von Europol beim Aus- 
tausch personenbezogener Daten zwi- 
schen nationalen Strafverfolgungsbe- 
hörden. Die Mitgliedstaaten sollten laut 
der separaten Stellungnahme zu diesem 
Entwurf verpflichtet werden von Fall 
zu Fall zu beurteilen, ob Europol eine 
Kopie der von den zuständigen natio- 
nalen Behörden ausgetauschten Infor- 
mationen erhalte. Dabei sei der Zweck 
klar anzugeben. Andernfalls könnte die 
Richtlinie dazu führen, dass „eine rie- 
sige Datenbank mit Sicherungskopien 
der ausgetauschten Informationen ent- 
steht”. Eine solche würde von Europol 
für neue, von der Behörde selbst fest- 
gelegte Zwecke verwendet. Die polizei- 
liche Zusammenarbeit sei „ein wichtiges 
Element eines gut funktionierenden 
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Raums der Freiheit, der Sicherheit und 
des Rechts“. Eine stärkere Rolle von 
Europol als „Informationsdrehscheibe” 
müsse aber angemessen sein. Sie dürfe 
nicht „als Nebeneffekt zur Schaffung 
neuer großer zentralisierter Datenban- 
ken führen“ (Krempl, Datenschutz: Plan 
für EU-weiten Abgleich von Gesichts- 
bildern sorgt für Unmut, www.heise.de 
16.03.2022, Kurzlink: https://heise. 
de/-6550673). 


EU 


Umstrittene Bekämpfung 
des Kindesmissbrauchs im 
Netz 


Seit Jahren wird darüber diskutiert, 
ob digitale Kommunikation nach miss- 
bräuchlichen Darstellungen von Kin- 
dern durchsucht werden muss oder darf, 
um dadurch den dokumentierten Kin- 
desmissbrauch zu bekämpfen. Die EU- 
Kommission wird ihren hierzu geplanten 
Gesetzesentwurf voraussichtlich erst 
im Sommer präsentieren. Unbestritten 
ist, dass der Schutz der Kinder vor Miss- 
brauch schon längst eine digitale Dimen- 
sion hat. Die rasante Verbreitung der 
Darstellungen von sexualisierter Gewalt 
gegen Kinder ist ein großes Problem, 
das Kindesmissbrauch wiedergibt und 
zugleich anheizt. Es geht um die Frage, 
wieviel individuelle Freiheitsrechte man 
bereit ist für mehr Sicherheit vulnerabler 
Gruppen aufzugeben. 

Die für März 2022 vorgesehene Prä- 
sentation eines Gesetzesentwurfs der 
Europäischen Kommission für ein Kin- 
derrechtspaket verzögert sich. Kont- 
rovers diskutiert werden insbesondere 
Pläne auch verschlüsselte digitale Kom- 
munikation massenhaft und auf Ver- 
dacht nach Missbrauchsdarstellungen 
zu durchsuchen. Bereits 2020 sorgte die 
„freiwillige Durchsuchung” von privaten 
Nutzernachrichten nach möglichen ille- 
galen Inhalten durch Plattformkonzer- 
ne wie Google, Facebook und Microsoft 
für Debatten, als sie betroffenes Mate- 
rial aus nicht-verschlüsselter digitaler 
Kommunikation über Dritte wie das 
National Center for Missing & Exploited 
Children (NCMEC) in den USA oder di- 
rekt an die Strafverfolgungsbehörden 
weiterleiteten. 


Nach Inkrafttreten des neuen Tele- 
kommunikationskodexes und der da- 
durch bedingten Anwendung der al- 
ten europäischen E-Privacy-Richtlinie 
stellten die Plattformen aus Sorge vor 
rechtlichen Problemen diese Praxis ein. 
Der EU-Gesetzgeber reagierte mit einer 
interimistischen Regulierung, die im 
Juli 2021 vom EU-Parlament bewilligt 
wurde. Diese temporäre Verordnung, die 
den Anbietern das Monitoring gestat- 
tet, läuft 2023 aus. 

Wie eine endgültige Regelung gemäß 
einem Gesetzesentwurf EU-Kommission 
aussehen wird, ist noch unklar. Der EU- 
Parlamentarier Patrick Breyer (Piraten- 
partei) veröffentlichte im März 2022 
eine Stellungnahme von EU-Innen- 
kommissarin Ylva Johansson, wonach 
eine Verpflichtung der Messenger- und 
E-Mail-Dienste zum Durchsuchen nach 
missbräuchlichen Inhalten geplant ist. 
Bereits im November 2021 hatten die 
EU-Innenminister in einem gemeinsa- 
men Statement eine solche Vorschrift in 
Aussicht gestellt. Ein neues EU-Zentrum 
zur Bekämpfung von Kindesmissbrauch 
soll hierbei als zentrale Meldestelle für 
die Anbieter fungieren und gewähr- 
leisten, dass das Monitoring durch die 
Tech-Konzerne nicht zu anderen Zwe- 
cken eingesetzt wird. 


- Die Sicht der Datenschützer 


Breyer befürchtet, dass dies letztlich 
eine „Massenüberwachung durch voll- 
automatisierte Echtzeit-Chatkontrolle 
und damit die Abschaffung des digitalen 
Briefgeheimnisses” zur Folge hat: „Der 
angekündigte Gesetzesentwurf bedroht 
außerdem die sichere Verschlüsselung, 
denn auch Ende-zu-Ende-verschlüsselte 
Dienste sollen in Zukunft durchleuchtet 
werden.” Er befürchtet die „Privatisie- 
rung” der Strafverfolgung, da intranspa- 
rente Algorithmen von Konzernen Ver- 
dachtsfälle bewerten müssten. Zudem 
sei der Einsatz von Künstlicher Intelli- 
genz beim Durchforsten der digitalen 
Kommunikation nach inkriminierten In- 
halten äußerst fehleranfällig: „Nach An- 
gaben der Schweizer Bundespolizei sind 
86 Prozent der maschinell angezeigten 
Inhalte nicht strafrechtlich relevant, wie 
etwa Urlaubsfotos am Strand mit nack- 
ten Kindern.” Die technische Umsetzung 
eines Monitorings bei Ende-zu-Ende ver- 
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schlüsselter Kommunikation würde die 
Anbieter tatsächlich vor große Heraus- 
forderungen stellen. 

Tom Jennissen vom Verein Digitale 
Gesellschaft meinte hierzu: „Technisch 
gesehen können derartige Maßnah- 
men bei Ende-zu-Ende-verschlüsselter 
Kommunikation mittels Messengern 
wie etwa Telegram oder Signal nur funk- 
tionieren, wenn die Verschlüsselung 
aufgehoben oder umgangen wird.” Um 
diese technische Hürde zu meistern, 
fürchten er und andere Datenschützer 
die umfassende Anwendung eines soge- 
nannten „Client-Side Scanning” (CSS), 
wonach die Inhalte nicht während des 
Versendens, sondern direkt auf den 
Endgeräten der Nutzenden geprüft wür- 
den, bevor die Verschlüsselung greift. 
Die vorgesehenen Maßnahmen würden 
nur funktionieren, wenn die Kommu- 
nikation der Nutzenden vollständig 
und in Echtzeit durchleuchtet würden. 
Schnell könnten solche Möglichkeiten 
„angesichts zunehmend autoritärer 
Tendenzen in einigen Mitgliedsstaaten” 
demokratiegefährdend zweckentfrem- 
det werden, beispielsweise zur Über- 
wachung politischer oder gesellschaft- 
licher Opposition: „Nicht erst die ange- 
spannte Weltlage sollte eigentlich allen 
politisch Verantwortlichen vor Augen 
führen, dass das Kompromittieren oder 
Unterlaufen von Ende-zu-Ende-Ver- 
schlüsselung eine ganz schlechte Idee 
ist. Denn selbstverständlich kann jede 
Sicherheitslücke nicht nur von Krimi- 
nellen, sondern auch von ausländischen 
Geheimdiensten genutzt werden.” 

Vor diesem Hintergrund veröffentlich- 
ten 39 Bürgerrechts- und Datenschutz- 
organisationen, darunter auch die Deut- 
sche Vereinigung für Datenschutz, einen 
offenen Brief an die EU-Kommission, in 
dem diese eindringlich vor der Aufhe- 
bung der Ende-zu-Ende-Verschlüsselung 
warnen. Darin fordern sie ein klares Nein 
zur massenhaften Überwachung, eine 
Intervention in private Kommunikation 
nurim Verdachtsfallund eine ausschließ- 
liche Beschränkung auf missbräuchliche 
Darstellung von Kindern (siehe in diesem 
Heft S. 101). 


- Die Sicht der Kinderschützer 


Jutta Croll, Vorstandsmitglied der Na- 
tional Coalition Deutschland, ein Netz- 
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werk zur Umsetzung der UN-Kinder- 
rechtskonvention, sieht die Nachrich- 
tendurchsuchung aus einem anderen 
Blickwinkel: „Das dringendste Anliegen 
aus kinderrechtlicher Perspektive ist es 
die Potenziale des digitalen Umfelds für 
Kinder - vor allem bei der Ausübung ihrer 
Rechte - nutzbar zumachen. Dasist dann 
zwangsläufig verknüpft mit der Gewähr- 
leistung des Schutzes von Kindern. Wenn 
dem nicht so ist, kann die Ausübung der 
Teilhaberechte, des Rechts auf Bildung, 
Zugang zu Informationen und freie Mei- 
nungsäußerung und vielem mehr nicht 
ausgeschöpft werden.” 

Zwar würden sich Datenschützer stark 
auf das Privatsphärerecht von Kindern 
beziehen, dieses sei jedoch allgemein 
„eines der ambivalentesten Menschen- 
rechte überhaupt“: „Bei Kindern kom- 
men da zusätzliche Ebenen hinzu, weil 
sich die Eltern als Erziehungsverant- 
wortliche auf Messers Schneide bewe- 
gen und ihren Kindern Privatsphäre- 
schutz gewähren sollen.” Das Client- 
Side Scanning biete den Vorteil, dass 
die Behörden damit nicht nachlaufend 
reagieren müssten, was der effiziente- 
re Weg sei. Sie räumt ein: „Ich bin mir 
durchaus bewusst, dass man das als 
Privatsphäreverletzung bezeichnen 
kann.” Aktuell sei durch das Client-Side 
Scanning jedoch nicht die gesamte pri- 
vate Kommunikation betroffen; tangiert 
seien ausschließlich mit Hashes ge- 
kennzeichnete Inhalte, die bereits als 
inkriminiertes Material bekannt seien. 
Solche Hashes von bekanntem inkrimi- 
niertem Material werden in einer Da- 
tenbank von Europol erzeugt, nachdem 
eine Meldung eingegangen ist und vali- 
diert wurde, dass es sich tatsächlich um 
illegales Material handelt. 

Mit _ Ende-zu-Ende-Verschlüsselung 
könne, so Croll, dieses Vorgehen jedoch 
nicht mehr weiterhelfen: „Hier setzen 
Kinderrechtsadvokat:innenan, zusagen, 
dann kann Verschlüsselung kein sinn- 
volles Instrument sein, wenn sie genau 
an dieser Stelle den Schutz verhindert”. 
Deshalb sei das proaktive Monitoring auf 
dem Endgerät der Nutzenden erforder- 
lich. Wenn klar sei, dass Ende-zu-Ende- 
Verschlüsselung das Mittel der Wahl ist, 
dann brauche es die Bereitschaft und die 
technischen Möglichkeiten bei den Platt- 
formbetreibern trotzdem weiter Monito- 
ring zu betreiben. 


Croll kritisiert auch das bisherige 
Vorgehen der europäischen Regulie- 
rungsverantwortlichen: „Ich war ent- 
setzt, dass man aus dem Trilog und 
den Verhandlungen zur DSGVO nicht 
die Lehren gezogen hat und mit der E- 
Privacy-Regulierung in dieselbe Falle 
getappt ist. Nämlich kurz vor Schluss 
zu merken, dass eine in guter Inten- 
tion auf den Weg gebrachte Initiative 
möglicherweise Seiteneffekte hat und 
Kollateralschäden verursachen kann.” 
Das Inkrafttreten des EU-Telekommu- 
nikationskodex und das dadurch abge- 
schaltete Monitoring der großen Platt- 
formen habe zu einem starken Rück- 
gang der Meldungen von missbräuch- 
lichen Darstellungen geführt: „Das Na- 
tional Centre for Missing and Exploited 
Children spricht von einem Rückgang 
der Meldungen aus Europa um 50 bis 
60% im Vergleich zum Vorjahr.” Wenn 
man bedenke, dass die Gesamtzahl der 
Missbrauchsdarstellungen während 
der Pandemie laut BKA um 53% gestie- 
gen ist, wäre eigentlich ein entspre- 
chender Anstieg auch der Meldungen 
zu erwarten gewesen. Dies habe auch 
dazu geführt, dass man eine Inte- 
rimsregulierung auf den Weg gebracht 
habe. Es müsse jedenfalls bis zum Ende 
dieser temporären Regelung ein neu- 
er Ansatz gefunden werden, um eine 
Wiederholung dessen zu verhindern 
(Müller, Wie lassen sich Kinderrechte 
und Privatsphäre schützen? Tagesspie- 
gel Background Digitalisierung&Kl, 
23.03.2022). 


EU 


Von der Leyen und Biden 
kündigen neues Privacy- 
Shield an 


EU-Kommissionspräsidentin Ursu- 
la von der Leyen und US-Präsident Joe 
Biden haben in Brüssel eine „grund- 
sätzliche Einigung“ über den transat- 
lantischen Datenverkehr erzielt, so dass 
zwischen der Europäischen Union (EU) 
und den USA personenbezogene Daten 
wieder einfacher fließen können. Nach 
einem Gipfelgespräch mit US-Präsident 
Biden hat von der Leyden einen neuen 
Ansatz zum Datenaustausch angekün- 
digt. Sie freue sich sehr, „dass wir eine 
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grundsätzliche Einigung über einen 
neuen Rahmen für den transatlanti- 
schen Datenverkehr erzielt haben.” Ein 
neues Abkommen werde „vorhersehbare 
und vertrauenswürdige” Datenflüsse er- 
möglichen, bei denen die Privatsphäre 
und die Bürgerrechte geschützt werden. 
Biden zeigte sich „stolz“ über den „wei- 
teren großen Durchbruch” beim Daten- 
verkehr: „Die EU-Kommission kann nun 
wieder transatlantische Datenflüsse er- 
lauben“, die Geschäfte im Wert von 7,1 
Mrd. Dollar ermöglichten - der Gesamt- 
wert der jährlichen Geschäfte zwischen 
beiden Seiten. 

Ein Entwurf für eine neue rechtliche 
Rahmenvereinbarung existiert bisher 
offenbar noch nicht. Die Anforderun- 
gen an ein solches „Datenschutzschild” 
sind hoch: Der Europäische Gerichtshof 
(EuGH) hatte im Sommer 2020 mit dem 
„Schrems II”-Urteil den transatlanti- 
schen Privacy Shield und damit eine 
der wichtigsten Grundlagen für den 
Transfer von Kundendaten in die USA 
für ungültig erklärt (DANA 3/2020, 
199ff.). Die Luxemburger Richter hat- 
ten dabei erneut festgestellt, dass US- 
Gesetze wie der Foreign Intelligence 
Surveillance Act (FISA) oder der Cloud 
Act eine Massenüberwachung durch 
Sicherheitsbehörden ermöglichen und 
der Datenschutzstandard in den Verei- 
nigten Staaten nicht demin der EU ent- 
spricht. 2015 hatte der österreichische 
Aktivist Max Schrems vor dem EuGH 
auch bereits das Vorgängerabkom- 
men „Safe Harbor” zu Fall gebracht. 
Ein dritter Anlauf dürfte daher ohne 
grundsätzliche US-Reformen wohl 
kaum ausreichen, um einen angemes- 
senen Datenschutz für EU-Bürger zu 
gewährleisten. 

Gemäß einem „Faktenblatt” der Kom- 
mission soll ein „neues Regelwerk” „ver- 
bindliche Garantien” enthalten, um den 
Zugriff von US-Geheimdiensten wie der 
NSA auf persönliche Daten von EU-Bür- 
gern „auf das zu beschränken, was zum 
Schutz der nationalen Sicherheit not- 
wendig und verhältnismäßig ist”. US- 
Sicherheitsbehörden würden der Ab- 
sprache zufolge „Verfahren einführen, 
die eine wirksame Kontrolle der neuen 
Datenschutz- und Bürgerrechtsstan- 
dards gewährleisten”. Dazu komme ein 
„neues zweistufiges Rechtsbehelfssys- 
tem zur Untersuchung und Beilegung 
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von Beschwerden von Europäern über 
den Zugriff auf Daten durch US-Geheim- 
dienste”. Dieses werde ein spezielles 
Gericht zur Prüfung solcher Eingaben 
umfassen. 

Die Kommission spricht zudem von 
„strengen Auflagen für Unternehmen, 
die aus der EU übermittelte Daten ver- 
arbeiten”. Diese schlössen weiterhin die 
Pflicht zu einer Selbstzertifizierung ein, 
wonach sie die einschlägigen Grundsät- 
ze des US-Handelsministeriums befolg- 
ten. Weiter habe man „spezifische Über- 
wachungs- und Überprüfungsmecha- 
nismen” vereinbart. Insgesamt würden 
die „in die USA übermittelten Daten der 
Europäer unter Berücksichtigung” des 
Schrems-II-Urteils des EuGHs (DANA 
3/2020, 199 ff.) geschützt. 

Schrems sieht die Ankündigung von 
der Leyens skeptisch: „Wir hatten be- 
reits 2015 ein rein politisches Abkom- 
men, das keinerlei Rechtsgrundlage 
hatte. Wie es derzeit aussieht, könnten 
wir das gleiche Spiel jetzt ein drittes 
Mal spielen.“ Bei dem Deal handle es 
sich offenbar um einen symbolischen 
Schritt, der „keinen Rückhalt der Ex- 
perten in Brüssel hat, da sich die USA 
nicht bewegt haben”. Nach Informati- 
onen der von Schrems gegründeten Da- 
tenschutzorganisation Noyb planen die 
USA „keine Änderungen ihrer Überwa- 
chungsgesetze, sondern lediglich Zu- 
sicherungen der Exekutive” über ein- 
schlägige Anordnungen. Diese hätten 
„keine externe Wirkung und können 
nicht eingeklagt werden”. Eine echte 
Lösung wie ein „No-Spy-Abkommen” 
mit „Basisgarantien unter gleichge- 
sinnten Demokratien” sei hier bisher 
nicht ersichtlich. Kunden und Unter- 
nehmen drohten so „weitere Jahre der 
Rechtsunsicherheit“. 

Zuvor hatte eine Entscheidung des 
Obersten Gerichtshofs der USA, des Su- 
preme Court, der US-Regierung mehr 
Spielraum bei der Berufung auf „Staats- 
geheimnisse” in Spionagefällen einge- 
räumt. US-Bürgern und Europäern dürf- 
te es so gleichermaßen schwerer fallen 
eine geheime Überwachung durch Si- 
cherheitsbehörden in den USA vor dor- 
tigen Gerichten anzufechten. 

Eine neue Vereinbarung wäre wieder 
eine Exekutiventscheidung der EU- 
Kommission, die zunächst vom Europä- 
ischen Datenschutzausschuss (EDSA) 


geprüft werden müsste. Dieser Prozess 
kann erst nach Vorliegen eines Entwurfs 
für einen solchen Rechtsakt gestartet 
werden. Bis zum Angemessenheitsbe- 
schluss der Kommission dürfte es noch 
ein paar Monate brauchen. Bis dahin 
können sich Unternehmen nicht auf die 
reine Ankündigung berufen. Dennoch 
lobte der europäische Arbeitgeberver- 
band Business Europe die „Einigung“ als 
„tolles Signal an die Business-Commu- 
nity und die ganze Welt”. Die internatio- 
nale Datenschutzvereinigung IAPP (In- 
ternational Association of Privacy Pro- 
fessionals) kommentierte, nun könnten 
„Datenschutz-Profis auf der ganzen Welt 
endlich aufatmen“. 

Rebekka Weiß vom Digitalverband 
Bitkom erklärte, die politische Eini- 
gung sei „nur der dringend notwen- 
dige erste Schritt: Jetzt gilt es diesen 
politischen Willen in eine belastbare 
rechtliche Regelung zu überführen.” 
Die Firmen bräuchten „rasch Rechts- 
sicherheit, damit die bestehende Da- 
tenblockade endlich aufgelöst werden 
kann“. Gerade auch kleinere Unterneh- 
men seien „auf die Speicherung von 
Daten in der Cloud, Nutzung der Soft- 
ware US-amerikanischer Anbieter und 
Kommunikation in sozialen Netzwer- 
ken und die Nutzung von Videokonfe- 
renzsystemen internationaler Anbieter 
angewiesen”. 

Der Vize-Fraktionsvorsitzende der 
Grünen im Bundestag, Konstantin von 
Notz, begrüßte die Grundsatzerklärung, 
nachdem die Kommission und die vor- 
herige Bundesregierung dem Grund- 
rechteschutz der Menschen in Europa 
sowie der notwendigen Rechtssicher- 
heit für die Wirtschaft jahrelang nicht 
gerecht geworden seien. Die Brüsseler 
Regierungsinstitution müsse nun ihrer 
Verantwortung gerecht werden und da- 
für Sorge tragen, dass das neue Abkom- 
men einen echten Mehrwert etwa für die 
informationelle Selbstbestimmung der 
Nutzer biete und auf „immer neue Hilfs- 
konstrukte” verzichte (Krempl, Privacy 
Shield 2.0: EU und USA einig bei neuem 
Abkommen zum Datenaustausch, www. 
heise.de 25.03.2022, Kurzlink: https:// 
heise.de/-6634101; Brühl, Daten-Dra- 
ma, dritter Akt, SZ 26./27.03.2022, 28; 
Krempl, Privacy Shield 2.0: USA geloben 
„beispiellose” Überwachungsreform, 
www.heise.de 26.03.2022). 
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EU 


EDSA macht Vorgaben ge- 
gen „Dark Pattern” 


Der Europäische Datenschutzaus- 
schuss (EDSA) hat im März 2022 Emp- 
fehlungen zum Schutz von Social-Me- 
dia-Anwendern vor dem Missbrauch 
ihrer persönlichen Daten verabschiedet. 
Mit „Dark Pattern“ werden Benutzer- 
schnittstellen und Nutzungsvorgaben 
bezeichnet, die darauf ausgelegt sind 
die Nutzenden zu Handlungen zu ver- 
leiten, die ihren Interessen entgegen- 
laufen. Die nun vorliegenden offiziellen 
Vorgaben zur Vermeidung von Dark Pat- 
terns gelten bei der Gestaltung von und 
beim Umgang mit Social Media in der 
gesamten Europäischen Union (EU). Sie 
umfassen praktische Empfehlungen für 
Designer und Nutzer der Plattformen. 
Das Ziel besteht darin Verstöße gegen 
die Datenschutz-Grundverordnung (DS- 
GVO) zu verhindern. 

Dark Patterns auf den Social-Media- 
Plattformen können Nutzende dazu ver- 
leiten persönliche Daten unabsichtlich 
und mit möglicherweise schädlichen 
Folgen preiszugeben. Die Richtlinien 
geben konkrete Beispiele für Dark Pat- 
terns und bewährte Vorgehensweisen 
für die datenschutzfreundliche Gestal- 
tung von Social-Media-Inhalten in un- 
terschiedlichen Anwendungsfällen. Der 
Bundesdatenschutzbeauftragte Ulrich 
Kelber begrüßte diese „positive Ent- 
wicklung”: „Ausspionieren darf kein 
Geschäftsmodell in Europa sein. Wenn 
soziale Medien die Daten ihrer Nutzen- 
den verwenden wollen, dann dürfen 
diese nicht mit unfairen Mitteln zur Ein- 
willigung gedrängt werden” (Ungerer, 
Datenschutz: europäische Richtlinien 
gegen „Dark Patterns”, www.heise.de 
16.03.2022, Kurzlink: https://heise. 
de/-6549591). 


Belgien/EU 


Bußgeld für die IAB Europe 

wegen Real Time Bidding 
Die belgische Datenschutzbehörde 

Autorite de protection des donnees 


(APD) hat einen für die Onlinewerbung 
zentralen Standard, das „Transparency & 


114 


Consent Framework“ (TCF) für daten- 
schutzrechtlich unzulässig erklärt und 
der Werbe-Organisation IAB Europe ein 
Bußgeld von 250.000 Euro auferlegt. 
Zudem wurde die IAB aufgefordert alle 
gesammelten Daten zu löschen. Die Ent- 
scheidung erging nach dem „One Stop 
Shop“-Prinzip der Datenschutz-Grund- 
verordnung (DSGVO) und gilt somit für 
die gesamte EU. 

Das TCF ist der zentrale Standard hin- 
ter Cookie-Bannern und personalisier- 
ter Werbung. Kernaufgabe des TCF ist 
die Weitergabe des Einverständnisses 
in die Datenverarbeitung zu Werbe- 
zwecken. Sobald Nutzende bei einem 
Cookie-Banner auf „Akzeptieren” kli- 
cken, wird ein sogenannter TC-String 
erzeugt und an alle Partner geschickt, 
die am sogenannten OpenRTB-System 
(Real Time Bidding) teilnehmen. Auf- 
grund dieses TC-Strings werden Nutzer- 
profile zusammengestellt, die dann die 
Grundlage für Echtzeit-Werbeauktionen 
bilden, mit denen einzelne Werbeplätze 
unter oft Hunderten Firmen versteigert 
werden. 

In ihrer mit den europäischen Da- 
tenschutzbehörden abgestimmten Ent- 
scheidung halten die belgischen Daten- 
schützer fest, dass nicht nur die Werbe- 
profile, sondern bereits der TC-String 
als personenbezogenes Datum gelten 
muss, da der String mit der IP-Adresse 
kombiniert werden kann, um die Nutzer 
identifizierbar zu machen. Diese Fest- 
stellung ist ein Debakel für die Werbein- 
dustrie, weil diese TC-Strings nach den 
Regeln der DSGVO behandelt werden 
müssen. Das bedeutet nicht nur, dass 
Nutzer informiert zustimmen müssen, 
damit diese Daten problemlos übertra- 
gen werden können. Benötigt wird auch 
ein offizieller Verantwortlicher, der für 
die Datenweiterverarbeitung Tausender 
Firmen geradesteht. 

Die IAB Europe hatte bereits in den 
vergangenen Monaten klargemacht, 
dass sie diese Rolle nicht einnehmen 
will. Das TCF wurde gerade deshalb als 
„freiwilliger Standard” konstruiert, um 
eine solche Haftung zu vermeiden. Doch 
wer an dem System nicht teilnimmt, 
muss im Werbegeschäft mit erheblichen 
Verlusten rechnen. Die Datenschützer 
haben auch mit der konkreten Ausge- 
staltung des TCF Probleme. Die Katego- 
rien, denen die Nutzer bei Cookie-Ban- 


nern zustimmen sollen, sind laut der 
Entscheidung viel zu vage, als dass den 
Nutzenden klar werden könnte, welchen 
Umfang die Datenweitergabe im Hinter- 
grund hat. Es besteht für sie keine Mög- 
lichkeit die Datenverarbeitung effektiv 
nachzuvollziehen. 

Der für das Verfahren zuständige Da- 
tenschützer Hielke Hijmans erklärte: 
„Menschen werden aufgefordert ihre 
Zustimmung zu geben, aber die meisten 
von ihnen wissen nicht, dass ihre Profile 
viele Male am Tag verkauft werden, um 
ihnen personalisierte Werbung zuzutei- 
len.” Die IAB Europe erhielt mit der Ent- 
scheidung zwei Monate Zeit zu erklären, 
wie sie das System auf eine legale Basis 
stellen will. 


- IAB Europe wehrt sich 


Die IAB Europe hat angekündigt ge- 
gen diese Entscheidung vor Gericht Kla- 
ge einzureichen. Insbesondere wendet 
sich die Organisation gegen die Fest- 
stellung, dass sie als „Controller“ für die 
Daten verantwortlich sein soll. Darüber 
hinaus betont IAB Europe, dass nicht 
das TCF an sich, sondern die konkrete 
Ausgestaltung für unzulässig befunden 
wurde. Man sei optimistisch innerhalb 
eines halben Jahres mit der Behörde 
eine für beide Seiten zufriedenstellende 
Lösung zu finden. 

Die Branchenorganisation IAB Europe 
fungiert als zentrale Schaltstelle, um 
die Zustimmungen zu Datenverarbei- 
tungen aus Cookie-Bannern an Werbe- 
marktplätze zu übermitteln. Die belgi- 
schen Datenschützer haben zwar nicht 
die technische Umsetzung insgesamt 
für illegal erklärt, sehen aber die IAB 
Europe als Co-Controller der Daten, die 
zur Erstellung von Nutzerprofilen ge- 
nutzt werden können. 

Dieser juristische Befund hat große 
Auswirkungen. IAB Europe meinte als 
kleiner Branchenverband unmöglich 
die Verantwortung für die Datenverar- 
beitung aller Empfänger dieser Daten 
übernehmen zu können. Auf der offizi- 
ellen Liste der Datenempfänger stehen 
derzeit 794 Firmen, die wiederum die 
Daten an eine unbekannte Anzahl wei- 
terer Firmen weitergeben können. Die 
Beschwerdeführer unterstellen, dass es 
bereits genügt, an den täglich milliar- 
denfach stattfindenden Werbeauktio- 
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nen teilzunehmen, um personalisierte 
Daten abzuschöpfen. 

Da Endnutzer für illegale Datenver- 
arbeitung zu Werbezwecken Schadens- 
ersatz verlangen könnten, wäre das 
Kostenrisiko für IAB Europe unkalku- 
lierbar. Dabei geht es um Milliarden- 
umsätze. Laut verschiedenen Bran- 
chenstatistiken werden mittlerweile 
über zwei Drittel der Online-Werbung 
mit Hilfe personalisierter Werbeprofi- 
le ausgespielt, bereits 2019 betrugen 
die Ausgaben in diesem Markt laut IAB 
Europe 23 Milliarden Euro - mit stark 
steigender Tendenz. Diesen Umstand 
versuchen sich die Beschwerdeführer 
nun zunutze zu machen. 


- Auslöser: Bürgerrechtsorganisationen 


Das Verfahren geht auf eine Be- 
schwerde des Irish Council for Civil Li- 
berties (ICCL) und anderer europäischer 
Bürgerrechtsorganisationen zurück 
(siehe dazu das Schwerpunktheft DANA 
3/2019). ICCL-Vertreter Johnny Ryan 
meinte: „Die heutige Entscheidung be- 
freit Hunderte Millionen Europder von 
dem Konsens-Spam und von dertieferen 
Gefahr, dass ihre persönlichsten Daten 
unter Tausenden von Firmen herumge- 
reicht werden.” Das Milliardengeschäft 
mit personalisierter Werbung könne 
nach der Entscheidung der belgischen 
Datenschützer nicht wie bisher funk- 
tionieren. Derweil arbeitet die Werbe- 
branche daran das Geschäftsmodell zu 
retten. Bereits im Vorfeld der Entschei- 
dung hatte die IAB Europe begonnen 
sich auf die neuen Gegebenheiten ein- 
zustellen. So wurde ein Programm zur 
„Vendor Compliance” aufgelegt, das die 
Bedenken gegen die Weitergabe von 
Werbeprofilen an hunderte Bieter aus- 
räumen soll. Kritiker wie Ryan halten 
diesen Versuch allerdings für aussichts- 
los, da die Daten viel zu weit gestreut 
würden, um eine wirkungsvolle Kontrol- 
le ausüben zu können. 

Obwohl die belgischen Datenschüt- 
zer der IAB zwei Monate Zeit gegeben 
haben, um ihre Verbesserungspläne 
einzureichen, versuchen das ICCL und 
das Electronic Privacy Information Cen- 
ter (EPIC) den Beschluss bereits jetzt 
durchzusetzen. Sie haben einen Briefan 
einige der größten Werbetreibenden ge- 
schickt, in dem sie aufgefordert werden 
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alle persönlichen Daten zu löschen, die 
sie mittels europäischer Cookie-Banner 
gesammelt haben - andernfalls droh- 
ten Schadensersatzforderungen. Zudem 
sollen die Konzerne aufhören in den 
USA Cookie-Banner einzusetzen, die die 
Autoren des Briefes als „Consent Spam” 
klassifizieren. Zu den Empfängern die- 
ser Forderung gehören die Unterneh- 
men Procter & Gamble und Unilever, 
aber auch IBM, Mastercard und Ford. 

Die IAB ruft unterdessen die euro- 
päischen Datenschutzbehörden dazu 
auf öffentlich ihre Position zu unter- 
stützen und zu erklären, dass sie nicht 
vorhaben gegen irgendjemanden Maß- 
nahmen zu ergreifen, der weiterhin 
das TCF-System verwendet. Dass diese 
Forderung erfüllt wird, ist jedoch sehr 
unwahrscheinlich. Die niederländische 
Aufsichtsbehörde hat bereits zuvor 
dazu aufgerufen das Nutzertracking 
einzustellen und alternative Metho- 
den der Werbeausspielung zu suchen. 
Deutsche Behörden haben sich in der 
Vergangenheit abwartender gezeigt als 
viele ihrer europäischen Kollegen, aber 
auch sie haben an dem Beschluss der 
belgischen Kollegen mitgewirkt. Wann 
sie zu Zwangsmitteln wie Bußgeldern 
greifen wollen, lässt sich heute jedoch 
noch nicht absehen (Kleinz, Belgische 
Datenschutzaufsicht: Zentraler Stan- 
dard für Cookie-Banner rechtswidrig, 
www.heise.de 02.02.2022, Kurzlink: 
https://heise.de/-6346178; Kleinz, 
Cookie-Banner: IAB Europe klagt ge- 
gen Datenschutz-Entscheidung, www. 
heise.de Kurzlink: https://heise.de/- 
6447152). 


Frankreich/EU 


CNIL erklärt Google Analy- 
tics für rechtswidrig 


Die französische Datenschutzbehörde 
Commission Nationale de l’Informatique 
et des Libertes (CNIL) hat entschieden, 
dass der Einsatz von Google Analytics 
auf Webseiten mit europäischen Be- 
suchern nicht mit der Datenschutz- 
Grundverordnung (DSGVO) vereinbar 
ist. Wer das Statistikprogramm nutze, 
verstoße gegen die Vorgaben des Ge- 
setzes zur Datenübermittlung. Google 
habe für den Transfer in die USA zwar 


zusätzliche Schutzmaßnahmen ergrif- 
fen. Diese reichten aber nicht aus, „um 
den Zugriff auf diese Daten durch US- 
Geheimdienste auszuschließen“. Mitte 
Januar 2022 hatte die österreichische 
Datenschutzbehörde (DSB) einen ähn- 
lichen Beschluss gefasst. Hintergrund 
ist das „Schrems-Il*-Urteil des Europäi- 
schen Gerichtshofs (EuGH) vom Sommer 
2020, mit dem dieser den transatlanti- 
schen „Privacy Shield” und damit eine 
der wichtigsten Grundlagen für den 
Transfer von Kundendaten in die USA 
für ungültig erklärte. Die Luxemburger 
Richter monierten, dass US-Gesetze wie 
der Cloud Act eine Massenüberwachung 
ermöglichten und die Datenschutzstan- 
dards nicht vergleichbar seien (DANA 
3/2020, 199 ff.). 

Max Schrems und der von dem Ju- 
risten gegründete Datenschutzverein 
noyb reichten daraufhin 101 Musterbe- 
schwerden in fast allen EU-Staaten ein. 
Die CNIL wies nun den Betreiber einer 
betroffenen französischen Webseite an 
die darüber erfolgende Datenverarbei- 
tung mit der DSGVO in Einklang zu brin- 
gen. Er müsse daher „gegebenenfalls die 
Nutzung der Google-Analytics-Funktio- 
nalität“ unter den derzeitigen Bedin- 
gungen einstellen und innerhalb von 
einem Monat auf ein Werkzeug setzen, 
das keine persönlichen Informationen 
in die USA übertrage. 

Die von Schrems angeführten fran- 
zösischen Unternehmen, die zum Zeit- 
punkt der Beschwerden Google Analytics 
verwendeten, waren die Einzelhändler 
Auchan und Decathlon sowie das Kos- 
metikgeschäft Sephora. Die Eingabe von 
noyb richtete sich zudem in Frankreich 
etwa gegen das Online-Magazin Huff- 
Post, das Facebook Connect nutzt. Die 
Untersuchung der CNIL und ihrer euro- 
päischen Partner erstreckt sich auch auf 
solche Instrumente, mit denen eben- 
falls Daten europäischer Nutzer in die 
USA gelangen. Einschlägige Entschei- 
dungen sollen bald folgen. Auch die 
niederländische Datenschutzbehörde 
hat einen Beschluss gegen Google Ana- 
lytics angekündigt. Zum Messen und 
Analysieren der Besucherzahlen einer 
Webseite empfiehlt die CNIL Dienste, die 
mit anonymen statistischen Daten ar- 
beiten. Hier könne eine Ausnahme von 
der prinzipiell erforderlichen Einwilli- 
gungspflicht greifen, wenn sicherge- 
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stellt werde, „dass keine illegalen Über- 
mittlungen stattfinden”. Google mahnt 
derweil nachdrücklich einen Privacy 
Shield-Nachfolger an (Krempl, Frank- 
reichs Datenschutzbehörde: Google 
Analytics ist in der EU rechtswidrig, 
www.heise.de 10.02.2022, Kurzlink: 
https://heise.de/-6439306). 


EU/Irland 


Erneutes Bußgeld gegen 
Meta 


Die  Datenschutzaufsichtsbehörden 
der EU-Mitgliedsländer haben unter Fe- 
derführung der irischen Datenschutzbe- 
hörde Meta Platforms zur Zahlung eines 
Bußgeldes in Höhe von 17 Millionen Euro 
verpflichtet. Als Begründung werden 
insgesamt zwölf Verletzungen von Da- 
tenschutzrecht durch den Facebook-Be- 
treiber angeführt, die 2018 beanstandet 
wurden. Da der EU-Hauptsitz der Social- 
Media-Plattform in Irland liegt, leitet 
die irische Aufsichtsbehörde, die Daten- 
schutzkommission (DPC), das Verfah- 
ren. Die DPC hat festgestellt, dass Meta 
beziehungsweise Facebook „keine ange- 
messenen technischen und organisatori- 
schen Maßnahmen” getroffen habe, um 
Daten von EU-Nutzern zu schützen. Meta 
vertritt den Standpunkt, dass Facebook 
lediglich gegen Dokumentationspflich- 
ten verstoßen habe. Die internen Abläu- 
fe würden weiterentwickelt. 

2021 hatte die irische Datenschutzbe- 
hörde WhatsApp, eine weitere Meta-Toch- 
ter, mit einem Bußgeld in Höhe von 225 
Mio. Euro belegt. Grund für das höchste 
Bußgeld, das sie je verhängte, war der 
Verstoß gegen die Datenschutz-Grund- 
verordnung (DSGVO), wonach WhatsApp 
seinen Transparenzverpflichtungen in 
Bezug auf die Bereitstellung von Infor- 
mationen und deren Weiterverarbei- 
tung zwischen WhatsApp und anderen 
Meta-Unternehmen nicht nachgekom- 
men sei. Zuletzt hat Meta vor möglichen 
Konsequenzen gewarnt, sollten die Ver- 
handlungen über Transfers europäischer 
Daten in die USA keine Früchte tragen. 
Ohne Datentransfer, so der Jahresbericht 
des US-Konzerns, müssten sie Facebook 
und Instagram in der EU abschalten 
(Schräer, Datenschutzverletzungen: Ir- 
land verhängt 17 Millionen Euro Bußgeld 


116 


gegen Meta, wwwr.heise.de 16.03.2022, 
Kurzlink: https://heise.de/-6550578). 


Schweiz 


Verdacht russischer Spio- 
nage gegen SMS-Dienst 
Mitto 


Twitter und andere Unternehmen kap- 
pen die Geschäftsbeziehungen zu dem 
Schweizer Unternehmen Mitto AG, das 
massenhaft SMS verschicken kann, aber 
nebenher und heimlich die Überwa- 
chung von Mobilfunkgeräten ermöglicht 
hat. Man sei dabei für den Versand von 
Verifikations-PINs zu anderen Dienst- 
leistern zu wechseln, erklärte Twitter 
gegenüber dem US-Senator Ron Wyden 
(Demokraten). 

Die geheimen Nebengeschäfte von 
Mitto waren im Dezember 2021 bekannt 
geworden. Die zunächst vom Bureau 
of Investigative Journalism und von 
Bloomberg erhobenen Vorwürfe richten 
sich hauptsächlich gegen den Mitgrün- 
der von Mitto, Ilja Gorelik. Mitto hat Ver- 
träge mit Providern in aller Welt, um SMS 
in großen Mengen und auch in schwer 
erreichbare Staaten wie etwa Afgha- 
nistan und den Iran zu schicken. Dafür 
zahlen nicht nur IT-Riesen wie Google, 
WhatsApp, Microsoft und eben Twitter, 
die über Mitto etwa SMS mit Verifikati- 
onsnummern verschicken. Den Recher- 
chen zufolge verkaufte er die Zugänge 
zu den Mobilfunknetzen an Kunden, die 
das z.B. für die Standortüberwachung 
von Mobilfunkgeräten nutzen konnten. 
Dazu habe er eigenmächtig Software ins- 
talliert. Kunden, Provider und angeblich 
sogar Mitto selbst hätten davon nichts 
gewusst. Der Schweizer Datenschutzbe- 
auftragte ermittelt. 

Wenige Tage nach den Berichten über 
diese geheimen Nebengeschäfte und 
fragwürdige Praktiken im Unternehmen 
selbst hatte eine Schweizer Tageszeitung 
Geschäftsverbindungen nach Russland 
aufgedeckt. Mitto ist demnach hundert- 
prozentige Mutter einer mutmaßlichen 
Briefkastenfirma in Moskau, die in dem 
Jahr gegründet wurde, in dem die heim- 
lichen Überwachungsaktivitäten ihren 
Ausgang genommen haben. Für den 
Geheimdienstexperten Erich Schmidt- 
Eenboom weckte die Enthüllung den Ver- 


dacht, „dass russische Dienste mit Infor- 
mationen von Mitto versorgt worden sein 
könnten”. Mitto selbst hatte angesichts 
der ersten Enthüllungen eine interne 
Untersuchung eingeleitet (Holland, Ge- 
heime Spionagegeschäfte: Twitter trennt 
sich von Schweizer SMS-Firma, www. 
heise.de 10.02.2022, Kurzlink: https:// 
heise.de/-6368789). 


Italien 


Bologna plant ein Social 
Credit System 


In Bologna wird derzeit das erste euro- 
päische Sozialkreditsystem entwickelt. 
Unter dem Namen „Smart Citizen Wallet” 
sollen Italiener für Wohlverhalten wie 
Mülltrennung und Nutzung öffentlicher 
Verkehrsmittel Punkte sammeln können, 
indem sie mittels einer App auf dem Mo- 
biltelefon ab Herbst 2022 Tugendpunkte 
sammeln können. Wer nachweislich den 
Müll getrennt oder öffentliche Verkehrs- 
mittel benutzt hat und nie im Parkverbot 
stand, erhält Gutschriften. In was sie um- 
getauscht werden können, also die Beloh- 
nung, steht noch nichtfest. 

China arbeitet seit 2014 in Testregionen 
mit einem solchen System an der Verhal- 
tenssteuerung der Bevölkerung. Wer sich 
wohl verhält, erlangt dort leichteren Zu- 
gang zu Krediten und Visa, wer negativ 
auffällt, muss mit Reisebeschränkungen 
und Steuererhöhungen rechnen. Dabei 
werden Technologien optischer Überwa- 
chung ebenso eingesetzt wie die Auswer- 
tung der Datenmengen, die das Smart- 
phone liefert, wenn mit ihm gebucht und 
bezahlt wird. 

Die europäische Variante, die bei Frei- 
willigkeit der Teilnahme einstweilen nur 
positive Sanktionen vorsieht, verwandelt 
das öffentliche Leben und seine Probleme 
eherin ein Spiel. Die italienische Autoren- 
gruppe „Ippolita” hat das in ihrem Buch 
über „Elektrische Seelen” („Anime elettri- 
che”, 2016) analysiert. Es werden danach 
moralische Rabattmarken verteilt, die 
den Zugang zu Gütern und Konsumlevels 
eröffnen, je nachdem, wie viele Punkte 
gesammelt wurden. Die Gesellschaft ver- 
wandelt sich dort, wo die Tugendabrech- 
nung etabliert wird, in eine Organisation. 

Im idealen Fall werden überall Mess- 
stationen eingerichtet, die den Gehor- 
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sam ermitteln, und die digitalen Perso- 
nalakten wachsen. Es muss festgelegt 
werden, was erwünscht ist und wie 
viel dafür zurückgezahlt werden kann, 
damit das Erwünschte geschieht. Die 
Abweichungen davon, Ungehorsam, 
Indifferenz und Eigensinn, gelten als 
unsozial. Was getan wird, wird aufgrund 
einer erwartbaren Auszahlung getan. 
Zugleich ist aus China der Begriff der 
„unsichtbaren roten Linie” bekannt, der 
die Ungewissheit darüber bezeichnet, 
was denn genau sozial erwünscht ist 
und ob verlangtes Verhalten nicht stets 
auch Schattenseiten hat. 

Konformismus ist nicht einfach, zu- 
mal in der Gesellschaft seit jeher ganz 
unterschiedliche Normen gelten, deren 
jeweilige Befolgung nur zufällig zuein- 
ander passt. Wenn die Leute nachts an 
unbefahrenen Straßen rote Fußgänger- 
ampeln beachten, so der FAZ-Kommen- 
tator Kaube, können sie sowohl ein Lob 
des regelgerechten Handelns erwarten 
wie dieBeschreibung, kadavergehorsam 
und also willenlos zu sein. Deviant sind 
die Verbrecher wie die Rebellen, die Er- 
finder wie die Melancholiker. Aus dieser 
Vielfalt der Abweichungen von den Pfa- 
den der Tugend lebt jedes Gemeinwesen. 
Wenn uns also jemand fragte, wohin Eu- 
ropa geht, sollten wir eher nicht sagen 
„nach Bologna” (Kaube, Tugendpunkte 
in Bologna. www.faz.net 21.04.2022). 


Ukraine 


Mit Clearview getötete 
Soldaten identifizieren 


Die Ukraine verwendet nach eigenen 
Angaben die Gesichtserkennungssoft- 
ware der umstrittenen US-Firma Clear- 
view AI, um russische im Ukrainekrieg 
getötete Soldaten zu identifizieren. Die 
Ukraine wolle dann die betroffenen Fa- 
milien über den Tod ihrer Angehörigen 
informieren, erklärte der Vizepremier- 
minister und Minister für die digitale 
Transformation, Mykhailo Fedorov. Das 
ukrainische Verteidigungsministerium 
habe im März 2022 mit der Nutzung be- 
gonnen. Mit der auf künstlicher Intel- 
ligenz basierenden Mustererkennung 
von Clearview sollen die Social-Media- 
Konten der verstorbenen Soldaten ge- 
funden werden. 
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Das ukrainische Innenministerium 
unterhält einem Reuters-Bericht zufol- 
ge einen Telegramkanal „Look for your 
own”, auf dem Bilder von nicht identifi- 
zierten gefangenen oder getöteten rus- 
sischen Soldaten veröffentlicht werden, 
damit Verwandte sich melden können. 
Nach Angaben des ukrainischen Militärs 
waren seit Kriegsbeginn am 24.02.2022 
bis zum 24.03. etwa 15.000 russische 
Soldaten getötet worden. 

Pathologen der US-Armee erklärten, 
dass die automatische Gesichtserken- 
nung derzeit noch keine akzeptierte 
Methode sei, um Leichen zu identifizie- 
ren. Der Leiter der Abteilung für forensi- 
sche Medizin an der Monash University 
in Melbourne, Richard Bassed, meinte, 
„trübe Augen und verletzte, ausdrucks- 
lose Gesichter” würden die Gesichts- 
erkennung bei Verstorbenen unzuver- 
lässig machen. Clearview soll seinen 
Dienst der Ukraine nach der russischen 
Invasion kostenlos angeboten haben. 
Die Datenbank enthalte über zwei Milli- 
arden Bilder von VKontakte, einem be- 
liebten russischen Social-Media-Dienst 
(zu Clearview DANA 1/2022, 45, 54 f£.; 
Koch, Gesichtserkennung: Ukraine setzt 
Clearview AI zur Identifizierung Gefal- 
lener ein, www.heise.de 24.03.2022, 
Kurzlink: https://heise.de/-6624818). 


Russland 


Nokia förderte telekom- 
munikative Sorm-Über- 
wachung 


Nach dem russischen Angriff auf die 
Ukraine hat der finnische Konzern No- 
kia seine Lieferungen nach Russland 
eingestellt. Zuvor soll er allerdings beim 
Ausbau eines umfangreichen Überwa- 
chungssystems innerhalb des Landes 
geholfen haben. Gemäß der „New York 
Times“ ergibt sich aus internen Unter- 
nehmensdokumenten, dass Nokia dem 
größten russischen Mobilfunkanbieter 
MTS sowohl Hard- als auch Software 
zur Verfügung gestellt hat, die für die 
Überwachung russischer Bürgerinnen 
und Bürger von Bedeutung ist. Bei der 
Recherche sollen mehr als 75.000 Do- 
kumente und fast 2 Terabyte Datensätze 
ausgewertet worden sein. Die Vorwürfe 
hängen mit dem System for Operati- 


ve Investigative Activities, kurz Sorm, 
zusammen. Damit hört der russische 
Inlandsgeheimdienst FSB nicht nur Te- 
lefongespräche ab, sondern fängt auch 
E-Mails sowie Textnachrichten ab und 
verfolgt die Internetkommunikation 
der Menschen. 

Nokia habe, so der Bericht, zwar kei- 
ne Technologie hergestellt, um direkt 
die Kommunikation abzuhören. Aller- 
dings habe der Konzern mit staatsnahen 
russischen Unternehmen zusammenge- 
arbeitet, um die Verbindung des Sorm- 
Systems mit dem Netzwerk von MTS zu 
planen, zu optimieren und Fehler zu 
beheben. Dies sei besonders brisant vor 
dem Hintergrund, dass Sorm offenbar 
auch in Russland eingesetzt wird, um 
Gegner des Kriegs zum Schweigen zu 
bringen. Die Dokumente sollen zeigen, 
„dass Nokia wusste, dass es ein russi- 
sches Überwachungssystem ermöglich- 
te“. Diese Arbeit sei für Nokia unerläss- 
lich gewesen, um in Russland Geschäfte 
zu machen, nachdem das Unternehmen 
zu einem der wichtigsten Lieferanten 
von Geräten und Dienstleistungen für 
verschiedene Telekommunikationskun- 
den geworden war. Sie spülten jährlich 
Hunderte von Millionen Dollar in die 
Kasse des Konzerns, „selbst als Putin 
im Ausland immer kriegerischer und im 
Inland immer kontrollsüchtiger wurde“. 
Es wird davon ausgegangen, dass Putin 
Kritiker seines Ukrainekrieges per Sorm 
verfolgen lässt. Zuvor hatte Sorm gehol- 
fen, Anhänger des Oppositionellen Ale- 
xej Nawalny ausfindig zu machen. 

Nokia bestritt die Echtheit der Do- 
kumente nicht und rechtfertigte sich 
damit, „dass es nach russischem Recht 
verpflichtet sei Produkte herzustellen, 
die es einem russischen Telekommuni- 
kationsbetreiber ermöglichen sich mit 
dem Sorm-System zu verbinden“. Ande- 
re Länder würden ähnliche Forderungen 
stellen. Nokia erklärte, dass es selbst 
„keine Sorm-Geräte herstellt, installiert 
oder wartet“. Nach dem Angriff Russ- 
lands auf die Ukraine hatte der finnische 
Konzern diesen scharf verurteilt, seine 
Lieferungen nach Russland eingestellt 
und sich aus dem Russlandgeschäft 
zurückgezogen. Die Hinterlassenschaft 
des Konzerns bleibt in Betrieb. 

Der russische Geheimdienstexperte 
Andrej Soldatow vom Center for Eu- 
ropean Policy Analysis in Washington 
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meinte, ohne Nokias Hilfestellung bei 
der Integration von Sorm in das MTS- 
Netzwerk „wäre es nicht möglich ge- 
wesen so ein System aufzubauen”. Tom 
Malinowski, demokratischer Abgeord- 
neter im US-Repräsentantenhaus, for- 
derte Konsequenzen. Umfassendere 
Exportkontrollen für westliche Tech- 
nologien sollten verhindern, dass diese 
für die Totalüberwachung der Bürger 
eingesetzt werden können. Mit diesen 
Produkten solle nicht anders verfahren 
werden als „mit fortschrittlicher Rake- 
ten- oder Drohnentechnik” (Ist Nokia 
für die Überwachung von Putin-Geg- 
nern in Russland verantwortlich? www. 
mdr.de 29.03.2022; Nokia assistierte 
bei Putins Spitzelei, Der Spiegel Nr. 14 v. 
02.04.2022, 95). 


Russland 


Yandex-Food-Daten 
enttarnen Geheimdienst- 
mitarbeiter 


Wegen eines Datenlecks beim Es- 
senslieferdienst Yandex Food, das am 
01.03.2022 bekannt wurde, weiß die 
Welt, was und wo einige Russen essen, 
auch solche, die gern möglichst geheim 
leben. Die russische Medienaufsichtsbe- 
hörde Roskomnadsor hat noch versucht 
die Daten wieder einzufangen. Sie hat 
mit Strafen gedroht, hat eine Website 
gesperrt; geholfen hat es letztlich nicht. 

Die Journalisten des Investigativ- 
portals Bellingcat haben den Datensatz 
ausgewertet. Dabei gelang es ihnen un- 
ter anderem ein Gebäude und mehrere 
Personen dem russischen Geheimdienst 
zuzuordnen. Dass das über scheinbar 
nebensächliche Daten gelang - wer hat 
welches Essen wohin bestellt? -, zeigt, 
dass es keine harmlosen Daten gibt. 
Verbindet man die Datenpunkte, dann 
können sie Geheimnisse enthüllen: Die 
Journalisten ordneten die Daten In- 
formationen zu, die sie bereits hatten, 
teils aus anderen Leaks. Sie überprüften 
beispielsweise, welche Lieferungen an 
die Adresse Doroschnaja Straße 56 in 
Moskau gingen. Das dortige Gebäude 
wird der russischen Nationalgarde zu- 
geordnet. Oder an die Choroschowskoje 
Chaussee 76, das Hauptquartier des Mi- 
litärgeheimdienstes GRU. 
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Die Bestellungen enthielten auch 
Handynummern. Die Reporter vergli- 
chen sie mit den Nummern, die sie bei 
einer Recherche zu den Beteiligten des 
Mordkomplotts gegen den inzwischen 
inhaftierten Oppositionellen Alexej Na- 
walny erhalten hatten. Ein neuer Name 
tauchte dabei auf. In der Nacht des 
Anschlages telefonierten die mit der 
Vergiftung Nawalnys betrauten FSB- 
Offiziere demzufolge mehrfach mit je- 
mandem bei einem Forschungsinstitut 
in Dubna, einer Stadt in der Oblast Mos- 
kau. Dieser Mann bestellte irgendwann 
Essen. Er gab dabei seinen Namen samt 
Handynummer an. 

In dem Leak taucht auch Putins an- 
gebliche „geheime Tochter” auf, die 
er mit der ehemaligen Putzkraft - und 
heutigen Besitzerin einer Luxuswoh- 
nung in Monaco - Swetlana Kriwono- 
gich haben soll. Sie bestellte Essen 
in ein rund 400 Quadratmeter großes 
Apartment, das umgerechnet etwa zwei 
Millionen Euro wert sein soll. Ljubow 
Sobol, eine russische Juristin und Op- 
positionspolitikerin, hatte darüber auf 
Twitter berichtet. Über andere Namen, 
die für die Öffentlichkeit weniger inter- 
essant sind, berichtete Bellingcat nicht. 
Der eigentliche Datensatz, der über- 
wiegend Informationen zu den Bestel- 
lungen unbekannter russischer Bürger 
enthält, sei „ohne legitimes Interesse 
für die Forschung” und daher nicht Teil 
der Publikation. 

Das Leak reiht sich in mehrere schwe- 
re Pannen ein, bei denen die Daten zahl- 
reicher Russen abflossen. In einer ande- 
ren Recherche schrieb Bellingcat, um 
an Informationen über russische Bürger 
zu kommen - etwa zu ihren Bewegun- 
gen anhand von Handydaten, zu ihrem 
Wohnsitz, zu ihrem Reiseverhalten und 
ihren Telefonaten -, brauche es nicht 
mehr „als ein bisschen kreatives Goo- 
geln (oder Yandexen) und ein paar Hun- 
dert Euro in Kryptowährungen“”. Yandex 
ist die russische Alternative zu Google. 

Der Grund für die einfache Zugäng- 
lichkeit solcher Daten ist die Sammel- 
wut russischer Behörden, die gern alles 
über ihre Bürgerinnen und Bürger wis- 
sen wollen. Die örtlichen Telekommuni- 
kationsunternehmen müssen seit 2016 
Kundendaten speichern. So entstehen 
lohnende Ziele für Hacker. Zudem ver- 
kaufen die Unternehmen diese Daten 


oft heimlich weiter. All das Sammeln 
und Speichern macht den russischen 
Staatsapparat also - zumindest in die- 
sem Fall - nicht sicherer, sondern viel- 
mehr angreifbarer. Sicherheitsforscher 
Troy Hunt wies darauf hin, dass jeder 
irgendwann in einem Leak landen kann. 
Das Yandex-Food-Leak soll Informatio- 
nen zu knapp 60 000 Russen enthalten. 
2019 flossen die Daten von 4,9 Millionen 
Kunden des US-Lieferdienstes Doordash 
ab (Bovermann, Lieferdienst-Datenleck 
enttarnt russische Geheimdienstmitar- 
beiter, SZ 06.04.2022, 18). 


Israel 


Pegasus erschüttert 
israelische Politik 


Die israelische Wirtschaftszeitung 
„Calcalist” veröffentlichte Anfang Feb- 
ruar 2022 eine lange Liste von Zielper- 
sonen, die von der israelischen Polizei 
illegal mit der von der Firma NSO ent- 
wickelten Spionagesoftware Pegasus 
ausgespäht worden sein sollen. Bür- 
germeister sind darunter, Wirtschafts- 
führer, hohe Staatsbeamte sowie viele 
Personen aus dem engsten Umfeld des 
früheren Premierministers Benjamin 
Netanjahu, darunter sein Sohn Avner. 
Mit dieser Enthüllung schlug der NSO- 
Skandal mit einiger Verspätung auch in 
Israel, an der Quelle, hohe Wellen. NSO 
ist eine israelische Firma, deren Späh- 
Software unbemerkt die Kontrolle über 
Mobiltelefone übernehmen kann. Der 
damit mögliche Missbrauch stand im 
Mittelpunkt des sogenannten „Pegasus- 
Projekts”, bei dem internationale Me- 
dien im Sommer 2021 aufdeckten, wie 
autoritäre Regime weltweit Journalis- 
ten, Menschenrechtler und Oppositio- 
nelle ausspähen (DANA 3/2021, 187 ff). 

In den USA wurde die Firma NSO in- 
zwischen auf eine Sanktionsliste ge- 
setzt. In Israel aber hatte sie sich bis 
dahin der Protektion durch die Politik 
sicher sein dürfen. Zu den Beschwich- 
tigungsformeln der Software-Entwickler 
zählte unter anderem die Behauptung, 
dass ihre Produkte nur zur Bekämpfung 
von Terrorismus und organisierter Kri- 
minalität eingesetzt würden und dass 
israelische ebenso wie US-amerikani- 
sche Telefonnummern gar nicht ausge- 
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späht werden könnten - was nun offen- 
bar widerlegt wurde. 

Auf die ersten Anschuldigungen hin 
hatte Israels Polizei noch mit einem 
erbosten und kategorischen Dementi 
reagiert. Zweiflern wurde vorgehalten, 
sie würden die Arbeit der Polizei be- 
hindern und das Land den Verbrechern 
und Terroristen überlassen wollen. Zwei 
Wochen später wurde dann allerdings 
vage einräumt, es gebe „neue Erkennt- 
nisse”. Am 07.02.2022 wurden auf der 
Liste Ross und Reiter genannt mit den 
Namen Dutzender Personen, deren 
Telefone ohne Verdacht auf kriminel- 
le Handlungen und ohne richterliche 
Genehmigung von der Polizei gehackt 
worden sein sollen. Es findet sich darauf 
zum Beispiel Rami Levy, der landesweit 
bekannte Besitzer einer großen Super- 
marktkette. Auch die drei Generaldirek- 
toren der Ministerien für Finanzen, Jus- 
tiz und Transport stehen darauf, offen- 
bar wegen des Verdachts der Weitergabe 
von Informationen an Journalisten. 
Die Anführer von Protestbewegungen 
wurden demnach ebenso ausgespäht 
wie Siedlervertreter vor geplanten Räu- 
mungsaktionen. Das alles wirkte recht 
wahllos und vor allem: unkontrolliert. 

Die Innenministerin Ayelet Schaked 
zeigte sich irritiert: „Wenn diese Be- 
richte stimmen, dann sprechen wir von 
einem Erdbeben und von Taten, die zu 
dunklen Regimen aus früheren Jahr- 
hunderten passen”. Schaked galt bis- 
lang als enge Freundin der NSO-Präsi- 
dentin Schiri Dolev. Auch Premierminis- 
ter Naftali Bennett hatte zu Beginn der 
Corona-Pandemie vor zwei Jahren noch 
eine Software von NSO zum Tracking bei 
der Corona-Bekämpfung einsetzen wol- 
len. Nun versprach er der Bevölkerung 
volle Aufklärung über den möglichen 
Missbrauch: „Wir verstehen den Ernst 
dieser Angelegenheit.” Sogar Israels 
Präsident Isaac Herzog schaltete sich 
ein: „Wer für Recht und Ordnung sorgt, 
muss sauberer als alle anderen sein. Wir 
dürfen nicht unsere Demokratie und das 
Vertrauen in unsere Polizei verlieren.” 

Den lautesten Alarm schlug der frühe- 
re Premier und heutige Oppositionsfüh- 
rer Benjamin Netanjahu, indem er von 
einem „dunklen Tag für den Staat Israel” 
sprach. Ein solcher Einsatz der Spähsoft- 
ware sei vergleichbar damit, dass Israels 
Armee die eigenen Bürger bombardiere. 
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Es war Netanjahu persönlich, der den 
Polizeichef Roni Alscheich ausgewählt 
hatte, in dessen Amtszeit von 2015 bis 
2018 offenbar die meisten Ausspähun- 
gen fielen. Alscheich war zuvor Vize beim 
Inlandsgeheimdienst Schin Bet gewe- 
sen, und Netanjahu gab ihm den Auftrag 
mit aufden Weg, die Cybertechnologie in 
die Polizeiarbeit einzubringen. Vor allem 
aber hatte Netanjahu selbst die NSO- 
Spionagesoftware weltweit angepriesen. 
Seine „Pegasus-Diplomatie” mit dem 
Verkauf der israelischen Software soll 
zum Beispiel dabei geholfen haben den 
Weg zur Aufnahme diplomatischer Bezie- 
hungen zu mehreren arabischen Staaten 
zu ebnen. 

Netanjahu sieht jetzt die Chance den 
Skandal in seinem Korruptionspro- 
zess zu nutzen. Denn auf der Liste je- 
ner, die von der Polizei illegal gehackt 
worden sein sollen, stehen zahlreiche 
Personen aus seinem engeren Umfeld, 
diverse wichtige Zeugen sowie ande- 
re Angeklagte. Seine Anwälte erhoffen 
ein Ende des Verfahrens. Zumindest 
sollen die Anhörungen erst einmal ein- 
gestellt werden. Klarheit über den isra- 
elischen Pegasus-Einsatz wird es aber 
nicht kurzfristig, allenfalls in einigen 
Monaten geben. Der zuständige Minis- 
ter für die öffentliche Sicherheit hat die 
Einsetzung einer Untersuchungskom- 
mission angekündigt (Münch, Neuer 
Abhörskandal erschüttert Israel, SZ 
09.02.2022, 7). 


USA 


Clearview wirbt mit 
Expansion bei der Gesichts- 
erkennung 


Trotz zahlreicher rechtlicher Verfah- 
ren und internationaler Kritik expan- 
diert die auf biometrische Gesichtser- 
kennung spezialisierte US-Firma Clear- 
view (s.o. S. 117). Das Unternehmen 
sei, so eine 55-seitige Präsentation für 
Investoren von Clearview, dabei die Zahl 
der in seiner Datenbank gespeicherten 
Gesichtsfotos binnen eines Jahres von 
10 Milliarden auf 100 Milliarden zu er- 
höhen. Dies dürfte gewährleisten, dass 
„fast jeder Mensch auf der Welt identifi- 
zierbar sein wird”. Die New Yorker Firma 
hätte damit durchschnittlich 14 Fotos 


von jedem der 7 Milliarden Erdenbürger 
in ihrem Register, mit dem sie derzeit 
Erkennungsdienste für Sicherheitsbe- 
hörden weltweit durchführt. Das jährli- 
che Wachstum der Datenbank gibt das 
Unternehmen aktuell mit 1,5 Milliarden 
Bildern pro Monat an. Bei dieser Rate 
müsste es noch deutlich zulegen, denn 
sonst kämen innerhalb eines Jahres 
„nur“ 18 Milliarden Bilder dazu. 

50 Millionen US-Dollar will Clearview 
dem zugrundeliegenden Pressebericht 
zufolge von Investoren einwerben, um 
schneller zu wachsen und in neue Ge- 
schäftsfelder vorzustoßen. Die Firma 
betonte nach außen bislang immer, nur 
mit Regierungsstellen und insbesondere 
mit Strafverfolgern zusammenzuarbei- 
ten. Nun behauptet sie in der Präsenta- 
tion die Art und Weise „revolutionieren” 
zu können, wie Arbeitskräfte in der Gig 
Economy überprüft werden. Daneben 
sollen sich Logos etwa von Airbnb, Lyft 
und Über befinden. 

Clearview-Gründer Hoan Ton-That 
bezeichnete diese Namen gegenüber 
der Zeitung als „Beispiele für die Art 
von Unternehmen, die Interesse an 
der Gesichtserkennungstechnologie” 
der Firma „zum Zwecke der zustim- 
mungsbasierten Identitätsüberprüfung 
bekundet haben”. Sie wollten damit 
verhindern, dass über ihre Plattformen 
Straftaten begangen würden. Sprecher 
der genannten Konzerne betonten noch 
nie Pläne für eine Zusammenarbeit ge- 
habt zu haben. Ferner soll Clearview 
damit werben, dass die biometrische 
Erkennungstechnik dazu verwendet 
werden könnte, um Menschen auf Apps 
zu bewerten, über die Nutzer etwa nach 
Partnern, Babysittern, Reinigungskräf- 
ten oder Handwerkern suchten. Auch 
die Betreiber von Anwendungen wie 
Tinder, Sittercity & Co. wollten davon 
aber nichts wissen und monierten, dass 
Clearview ihre Logos missbrauche. 

Das Unternehmen gibt dem Bericht 
nach zudem an, dass es neben der Ge- 
sichtserkennung andere Systeme etwa 
zum Scannen von Nummernschildern 
und zur „Bewegungsverfolgung” entwi- 
ckelt habe. Es arbeite zudem nach eige- 
nen Angaben an einer Reihe anderer au- 
tomatisierter Überwachungstechniken. 
Darunter befinde sich Kamerasoftware 
zur Erkennung von Waffen und Dro- 
gen, Systeme zur Identifizierung einer 
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Person anhand ihres Gangs und „Image 
to Location“-Programme zur Bestim- 
mung des Aufenthaltsorts einer Person 
anhand des Hintergrunds eines Fotos. 
Ferner verweise es auf eine Software, 
um eine Person aus der Ferne anhand 
einer Aufnahme ihres Fingerabdrucks 
zu identifizieren. Ton-That erklärte, 
diese Techniken dienten alle der öffent- 
lichen Sicherheit und befänden sich in 
verschiedenen Stadien der Forschung 
und Entwicklung. Sie seien noch nicht 
marktreif und noch nicht in der Praxis 
eingesetzt worden. 

Die Präsentation widerspricht einem 
offenen Brief von Clearview aus dem 
Januar 2022, wonach man auf eine 
Echtzeiterkennung bewusst verzichte, 
um die Menschenrechte und Grund- 
freiheiten zu schützen. Zusammen mit 
Behörden soll laut den Informationen 
für Geldgeber doch ein „Echtzeit-Warn- 
system” entstehen. Damit könnten Un- 
ternehmen die Polizei benachrichtigen, 
wenn sie etwa „Personen mit hohem Ri- 
siko“ entdecken. Bereits bekannt war, 
dass die Firma für die US-Luftwaffe ein 
Pilotprojekt für eine Datenbrille mit 
Augmented-Reality-Gesichtserkennung 
durchführen soll. 

Amazon, Google, IBM und Microsoft 
haben sich aus dem Markt für Gesichts- 
erkennungssysteme weitgehend zu- 
rückgezogen. Kritiker warnen, die Tech- 
nik sei unzuverlässig, fehleranfällig 
und könnte leicht missbraucht werden. 
Clearview sieht im eigenen Kurs dage- 
gen beste Geschäftsmöglichkeiten, da 
esin den USA nun nur noch wenig Kon- 
kurrenz habe. Sein Stammprodukt sei 
zudem mächtiger als in China verwen- 
dete Lösungen, da das Fotoregister mit 
„Metadaten aus öffentlichen Quellen“ 
und Informationen aus sozialen Netz- 
werken verbunden sei. Die Aufnahmen 
hat die Firma vor allem aus Facebook, 
Instagram, Twitter & Co. sowie aus pri- 
vaten Webseiten zusammengesammelt. 
2021 warfen die Aufsichtsbehörden in 
Frankreich, Österreich, Italien, Grie- 
chenland und Großbritannien dem 
Unternehmen vor gegen europäische 
Datenschutzgesetze zu verstoßen. Be- 
reits ergangenen Löschaufforderungen 
sollen teils Geldbußen folgen. In den 
USA laufen in mehreren Bundesstaaten 
Klagen gegen Clearview (Krempl, Über- 
wachung: Clearview will Datenbank mit 
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100 Milliarden Gesichtsfotos füllen, 
www.heise.de 17.02.2022, Kurzlink: 
https://heise.de/-6491056). 


USA 


Vergleich wegen Werbenut- 
zung der Facebook-Like- 
Daten auf Fremdseiten 


Vor dem US-Bundesbezirksgericht für 
Nordkalifornien wurde ein Vergleich zur 
Genehmigung vorgelegt, wonach Fa- 
cebook 90 Millionen Dollar zahlen soll, 
um eine Sammelklage abzuwenden, die 
bereits im Jahr 2012 gegen den Konzern 
eingereicht worden war (Az. 12-md- 
02314). Als Facebook im Jahr 2010 die 
Funktion des Like-Buttons auf anderen 
Webseiten einführte, sollte gemäß dem 
Konzern den Nutzenden die Möglich- 
keit gegeben werden ihre Vorlieben zu 
äußern. Aus den Gerichtsunterlagen 
ging allerdings hervor, dass die Funk- 
tionalität des Buttons deutlich weiter 
geht. Mithilfe von Cookies wurden so 
Nutzerdaten gesammelt, unter ande- 
rem Informationen darüber, welche 
Webseiten besucht wurden, welche Ar- 
tikel angesehen wurden, oder welche 
Produkte gekauft wurden. Diese Daten 
wurden unabhängig davon erhoben, ob 
der Like-Button vom Webseitenbesu- 
cher genutzt wurde, oder ob der Nutzer 
noch bei Facebook eingeloggt war. Das 
wurde vonseiten Facebooks zunächst 
bestritten. 

Der Computer-Experte Nik Cubrilo- 
vic wies jedoch nach, dass Daten auch 
von ausgeloggten Nutzern erhoben 
wurden. Daraufhin räumte das Unter- 
nehmen Fehler ein und sah von der Da- 
tenerhebung bei ausgeloggten Nutzern 
künftig ab. Der daraus resultierende 
Rechtsstreit zog sich über Jahre hin. 
2017 gelang es Facebook die Verfahren 
einstellen zu lassen. Doch das hat ein 
Bundesberufungsgericht 2020 wieder 
aufgehoben. Statt der ursprünglich ge- 
forderten Dutzenden Milliarden Dollar 
dürfte der Facebook-Konzern Meta Plat- 
forms mit 90 Millionen US-Dollar Ent- 
schädigungszahlungen davonkommen 
gemäß dem Vergleich, auf den sich Fa- 
cebook und die Kläger geeinigt haben. 
Ausgehandelt wurde er mit Hilfe eines 
Mediators. Das beobachtete Nutzungs- 


verhalten konnte Facebook in höhere 
Einnahmen von Werbekunden ummün- 
zen. Der Datenkonzern gibt an mit den 
im erwähnten Zeitraum gesammelten 
Daten nicht mehr als die nun gebotenen 
90 Millionen Dollar verdient zu haben. 
Die damals gesammelten Daten würden 
bei Genehmigung des Vergleichs ge- 
löscht, verspricht Meta. 

Von den 90 Millionen Dollar geht ein 
Brocken an die Anwälte der Kläger. Da 
hier mindestens 21 Klagen zusammen- 
gefasst sind, und die jeweiligen Anwälte 
seit 2011/2012 an dem Verfahren arbei- 
ten, kommt einiges zusammen. Die Ju- 
risten haben insgesamt rund 26 Millio- 
nen Dollar Honorare zuzüglich Auslagen 
angemeldet. Auch die Verwaltung des 
Fonds sowie Druck und Versand der Ent- 
schädigungsschecks kostet. Der Rest 
kann unter den geschätzt 126 Millionen 
US-Amerikaner verteilt werden, die Fa- 
cebook im Zeitraum 22. April 2010 bis 
26. September 2011 genutzt haben. 

In seinem Antrag an das Gericht ver- 
weist Meta auf eine Statistik der US- 
Handelsbehörde FTC (Federal Trade 
Commission), wonach bei über 100 er- 
folgreichen US-Sammelklagen im Medi- 
an nur 4-5% der Berechtigten einen An- 
trag auf Auszahlung gestellt haben. Au- 
ßerdem erwähnt Meta einen Rechtspro- 
fessor, der herausgefunden habe, 
dass die Antragsrate bei sehr großen 
Sammelklagen (mehr als 2,7 Millionen 
Berechtigte) unter 1,5% liegt. Sollten 
nach Abzug der Anwaltshonorare und 
aller anderer Kosten 54 Millionen Dollar 
im Topf bleiben, und sich ein Prozent 
der Berechtigten anmelden, könnte je- 
der gut 42 US-Dollar bekommen (ent- 
spricht 37 €). Je mehr ihre Auszahlung 
fordern, desto weniger bekommt jeder. 

Auch in Europa wurde die Facebook- 
Praxis kritisiert. Der Europäische Ge- 
richtshof (EuGH) hat in einem Urteil im 
Jahr 2019 festgestellt, dass Seitenbe- 
treiber mitverantwortlich für die Daten- 
verarbeitung sein können. Im aktuellen 
Fall gilt der Vergleich für US-amerikani- 
sche Facebook-Nutzende, die zwischen 
April 2010 und September 2011 ein Fa- 
cebook-Konto besaßen und andere Web- 
seiten besuchten, auf denen der Like- 
Button eingesetzt wurde. Die Entschei- 
dung des Gerichts zu dem Vergleichs- 
vorschlag steht noch aus (Hillnhütter, 
90 Millionen Dollar wegen Facebook- 
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Like-Button, www.onlinehaendler- 
news.de 16.02.2022; Sokolov, Facebook 
bietet 90 Millionen Dollar Entschädi- 
gung für heimliches User-Tracking, 
www.heise.de 16.02.2022, Kurzlink: 
https://heise.de/-6477298). 


USA 


Diskriminierende Video- 
überwachung mit Gesichts- 
erkennung in New York 


Im April 2021 begannen über 7.000 
Freiwillige im Rahmen des Projekts „De- 
code Surveillance* (Aufdeckung von 
Überwachung) für Amnesty Internati- 
onal (AT) die Standorte von Kameras in 
den Straßen von New York City mit Hilfe 
von Google Street View zu dokumentie- 
ren. Sie überprüften 45.000 Kreuzungen 
jeweils dreimal und identifizierten über 
25.500 Kameras. Gemäß dem Al-Bericht 
sind schätzungsweise 3.300 dieser Ka- 
meras in öffentlichem Besitz und wer- 
den von Behörden und Strafverfolgung 
genutzt. Das Projekt wurde unterstützt 
von der Nichtregierungs-Organisation 
BetaNYC, die unter anderem die Nut- 
zung von Technologie in der Kommuni- 
kation zwischen Bürgern und Behörden 
verbessern will. Zusammen mit Daten- 
wissenschaftlern konnte eine Karte mit 
den Koordinaten aller 25.500 Kameras 
erstellt werden. Die Analyse ergab, dass 
esin den Stadtbezirken Bronx, Brooklyn 
und Queens am meisten solcher öffentli- 
chen Kameras gibt, also in Regionen mit 
einer hohen Konzentration von People 
of Color (PoC). 

Um herauszufinden, inwieweit das 
Kameranetz mit den polizeilichen 
Durchsuchungen zusammenhängt, er- 
mittelten die Al-Forschenden zusam- 
men mit Datenwissenschaftlern die 
Häufigkeit der Durchsuchungen pro 
1.000 Einwohner im Jahr 2019 in jedem 
Volkszählungstrakt (geografischer Ab- 
schnitt, der kleiner ist als eine Region 
mit derselben Postleitzahl). Die Grund- 
lage dafür bildeten die von der New Yor- 
ker Polizeibehörde NYPD zur Verfügung 
gestellten Adressdaten. Aus den in dem 
Bericht zitierten Daten der NYPD geht 
hervor, dass es in New York seit 2002 
mehr als 5 Millionen Mal zu sogenann- 
ten „Stop-and-frisk“-Durchsuchungen 
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gekommen ist. Die „Stop-and-frisk”- 
Methode - das willkürliche Anhalten 
und Durchsuchen von Menschen auf 
den Straßen - erlaubt es Beamten stich- 
probenartige Kontrollen von Bürgern 
auf Grundlage eines „begründeten Ver- 
dachts” durchzuführen. Der größte Teil 
dieser Durchsuchungen wurde, so er- 
gaben die NYPD-Daten, bei PoC durch- 
geführt. Nach Angaben der New Yorker 
Bürgerrechtsorganisation American 
Civil Liberties Union (ACLU) waren die 
meisten der durchsuchten Personen un- 
schuldig. 

Jedem Volkszählungsgebiet wurde 
ein „Überwachungslevel” zugewiesen, 
der sich nach der Anzahl der öffent- 
lichen Kameras pro 1.000 Einwohner 
richtete. In Gebieten mit hohem Über- 
wachungslevel wurden auch besonders 
oft Menschen angehalten und durch- 
sucht. Auf einer Strecke von 800 Metern 
im Brooklyner Stadtteil East Flatbush 
fanden 2019 beispielsweise sechs der- 
artige Durchsuchungen statt, und die 
Abdeckung durch öffentliche Kameras 
lag bei 60%. 

Experten befürchten, dass die Straf- 
verfolgungsbehörden die Bilder der 
Kameras dazu nutzen, um mit Hilfe von 
Gesichtserkennungs-Technologie un- 
verhältnismäßig viele PoC ins Visier zu 
nehmen. Auf Anfrage erhielt die Nicht- 
regierungs-Organisation Surveillance 
Technology Oversight Project (STOP) 
Dokumente, aus denen hervorgeht, 
dass die New Yorker Polizei zwischen 
2016 und 2019 in mindestens 22.000 
Fällen Gesichtserkennung eingesetzt 
hat, darunter das umstrittene Clear- 
view-System. Matt Mahmoudi von AI 
kommentierte: „Laut unserer Analyse 
verstärkt der Einsatz der Gesichtserken- 
nungs-Technologie durch die NYPD die 
diskriminierende Polizeiarbeit gegen 
Minderheitengemeinschaften in New 
York City.” 

Durch einen Abgleich der Überwa- 
chungskarte mit der Marschroute zeigt 
der Bericht auch auf, wie die Teilneh- 
mer der Black-Lives-Matter-Proteste 
im Jahr 2021 der Gesichtserkennungs- 
technologie ausgesetzt waren. Sie wur- 
den laut Mahmoudi „fast vollständig 
überwacht“. Zwar ist nicht genau klar, 
in welchem Umfang die Gesichtserken- 
nungstechnologie während der Proteste 
eingesetzt worden ist. Doch zumindest 


hat sie das NYPD bei einer Durchsu- 
chung eines Demonstranten bereits ver- 
wendet. 

Am 07.08.2020 klopften Dutzende 
von New Yorker Polizeibeamten an die 
Tür von Derrick Ingram, einem 28-jäh- 
rigen Black-Lives-Matter-Aktivisten. 
Ingram stand unter Verdacht einen Po- 
lizeibeamten angegriffen zu haben. Er 
soll ihm während einer Demonstration 
mit einem Megafon ins Ohr geschrien 
haben. Polizisten am Tatort wurden da- 
bei gesehen, wie sie ein Dokument mit 
dem Titel „Facial Identification Section 
Informational Lead Report” (Bericht der 
Abteilung für Gesichtsidentifizierung) 
anschauten, das offenbar ein Social-Me- 
dia-Foto von Ingram enthielt. Die NYPD 
bestätigte, dass sie bei der Suche nach 
Ingram die Gesichtserkennung einge- 
setzt hat. 

Eric Adams, der neue Bürgermeis- 
ter der Stadt, will den Einsatz der Ge- 
sichtserkennungs-Technologie eventu- 
ell noch erweitern. Dagegen haben sie 
viele US-amerikanische Städte bereits 
verboten, weil sie zu ungenau sei und 
Voreingenommenheit fördere (because 
of concerns about accuracy and bias). 
Jameson Spivack, Mitarbeiter am Geor- 
getown Law’s Center on Privacy and 
Technology: „Das Projekt von Amnesty 
zeigt auf, wie weit die Überwachung 
verbreitet ist, insbesondere in mehr- 
heitlich nicht-weißen Stadtvierteln. 
Und es deckt auf, wie viele öffentli- 
che Plätze gefilmt werden - Material, 
das die Polizei zur Gesichtserkennung 
einsetzen könnte” (Ryan-Mosley, New 
York: Kameras überwachen vor allem 
die üblichen Verdächtigen, www.heise. 
de 21.02.2022, Kurzlink: https://heise. 
de/-6495853). 


Brasilien 


Gesichtserkennungssoft- 
ware vor Gericht 


Die Ombudsstelle des Bundesstaates 
Säo Paulo, deren Pendant auf Bundes- 
ebene sowie eine Gruppe zivilgesell- 
schaftlicher Organisationen haben ge- 
meinsam eine Klage eingereicht, um den 
Einsatz von Gesichtserkennungstechno- 
logien durch die Metro in Säo Paulo mit 
ihren vier Millionen Fahrgästen täglich 
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zu verhindern. Ein Antrag aufErlass einer 
einstweiligen Verfügung zielt darauf ab 
die Erfassung und Verarbeitung biomet- 
rischer personenbezogener Daten von U- 
Bahn-Nutzern zu unterbinden. Die Klage 
fordert im Hauptsacheverfahren neben 
der unverzüglichen Einstellung des Ein- 
satzes von Gesichtserkennungstechnolo- 
gie die Verurteilung des Unternehmens 
zur Zahlung einer Entschädigung in 
Höhe von mindestens 42 Millionen Reais 
(rund 7,5 Mio. Euro) für kollektive mo- 
ralische Schäden für die Verletzung der 
Rechte seiner Fahrgäste. 

Gemäß den Klägern entspricht das 
System nicht den Anforderungen im 
Allgemeinen Datenschutzgesetz, im 
Verbraucherschutzgesetz und weiteren 
Gesetzen und Verordnungen. Gemäß 
dem brasilianischen Datenschutzgesetz 
müssen bei der Verarbeitung personen- 
bezogener Daten die Menschenrechte, 
die Menschenwürde und Bürgerrech- 
te geachtet werden. Mit der Klage wird 
bemängelt, dass die Gesichtserkennung 
das Risiko der Diskriminierung schwar- 
zer, nicht-binärer und transsexueller 
Menschen erhöhe, da diese Art von 
Technologie keine hohe Genauigkeit 
aufweise und „in ein Umfeld des struk- 
turellen Rassismus eingebettet” sei. 
Selbst die besten Algorithmen seien 
bei der Erkennung von Schwarzen und 
Transgender-Personen ungenau, so dass 
diese mehr Peinlichkeiten und Rechts- 
verletzungen ausgesetzt wären: „In 
Bezug auf schwarze und transsexuelle 
Menschen gibt es viele öffentliche und 
berüchtigte Fälle im In- und Ausland, 
in denen Gesichtserkennungssysteme 
zu schwerwiegenden Fehlern geführt 
haben, die auf algorithmischer Diskri- 
minierung beruhen.” 

Google, Amazon und andere Techno- 
logiefirmen stehen seit Jahren wegen 
Diskriminierung durch ihre KI-Systeme 
in der Kritik. Studien zeigten, dass Ge- 
sichtserkennungstechnologie farbigen 
Menschen gegenüber voreingenommen 
ist und dass Schwierigkeiten beste- 
hen People of Color zu identifizieren. 
Facebooks Gesichtserkennung zum 
Beispiel hielt schwarze Menschen für 
Affen. Unschuldige Schwarze wurden 
aufgrund fehlerhafter Algorithmen ver- 
haftet. Zudem verstoße, so die Klage, 
die Verwendung von Bildern und Daten 
von Kindern und Jugendlichen ohne 
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die Zustimmung der Eltern oder Erzie- 
hungsberechtigten gegen bestehende 
Gesetze. Die Überwachung verletze die 
Privatsphäre, weshalb Länder wie die 
USA oder Kanada den massiven Einsatz 
von  Gesichtserkennungstechnologie 
eingeschränkt haben. Im Februar 2021 
hat die kanadische Datenschutzbehör- 
de offiziell festgestellt, dass Clearviews 
Gesichtserkennung in Kanada illegal 
ist. Die US-Steuerbehörde verzichtete 
nach Kritik auf Gesichtserkennung für 
Onlinedienste. 

Die Metro erwiderte, dass „die Imple- 
mentierung des Systems den Anforde- 
rungen des allgemeinen Datenschutz- 
gesetzes entspricht”. Auch sehe „das 
elektronisch Überwachungssystem 
(SME3) keine Gesichtserkennung des 
Bürgers, keine Personifizierung und 
keinen Aufbau einer Datenbank mit 
persönlichen Informationen” vor. Es 
diene „ausschließlich der Betriebsun- 
terstützung und dem Passagierdienst. 
Damit ist es möglich Fahrgäste zu zäh- 
len, Objekte zu identifizieren, unbeglei- 
tete Kinder, unbefugtes Betreten von 
Bereichen wie dem Gleis, an dem der 
Zug vorbeifährt, entlaufene Tiere oder 
sehbehinderte Personen über das Sys- 
tem zu überwachen und in diesen Situ- 
ationen Warnmeldungen zu generieren, 
damit die Mitarbeiter schnell handeln 
können” (Knobloch, Brasilien: Klage ge- 
gen Gesichtserkennungssoftware, www. 
heise.de 08.03.2022, Kurzlink: https:// 
heise.de/-6541767). 


China 


Olympiateilnehmende 
standen unter dauerndem 
Überwachungsdruck 


Der US-Sicherheitsforscher Jonathan 
Scott hat schon vor Beginn der Olym- 
pischen Winterspiele in Beijing die für 
die Teilnehmer verpflichtende offizielle 
App My2022 dekompiliert und erhob da- 
raufhin schwere Vorwürfe gegen China. 
Demnach soll die App Tonmitschnitte 
anfertigen: „Ich kann definitiv sagen, 
dass sämtliche Audioaufnahmen der 
Olympioniken gesammelt, analysiert 
und auf chinesischen Servern gespei- 
chert werden.” Scott verwies darauf, 
dass die chinesischen Entwickler der 


App auch Komponenten anderer Her- 
steller im Code eingebunden haben, da- 
runter Module der chinesischen Firma 
iFlytek, die Audio verarbeiten können, 
und schloss daraus, dass die App alle 
eingeloggten Nutzer permanent abhört 
und die Daten an chinesische Server 
schickt. Den dekompilierten Code und 
die Assets der App für Android und i0S 
hat Scott auf Github veröffentlicht. Be- 
lege, dass die App permanent Mitschnit- 
te anfertigt und diese weiterreicht - 
etwa anhand von Netzwerkverkehr - 
blieb Scottschuldig. Umdasnachzuvoll- 
ziehen, müsste man eingeloggt sein - 
und einen Zugang zur App erhielten 
nur die akkreditierten Teilnehmer der 
Spiele. 

Zuvor hatten Sicherheitsforscher des 
Citizen Labs der Universität Toronto eine 
„einfache aber verheerende Schwach- 
stelle” in der Verschlüsselung bei der 
Client-Server-Kommunikation der App 
gefunden. Damit konnte die Verschlüs- 
selung, die Tonaufnahmen der Nutzer 
und Datentransfers schützt, mühelos 
umgangen werden. Laut Citizen Lab ist 
unklar, mit wem diese Informationen al- 
les geteilt wurden. In Kombination seien 
die privaten Daten daher unzureichend 
geschützt. Die Analyse bestätigte, dass 
die Behörden mit der App theoretisch 
Sportler, Betreuer oder Journalisten, 
die sich in der Olympia-Blase aufhalten 
wollten oder mussten, bei den Spielen 
überwachen konnten, wenn sie es woll- 
ten. Während des Aufenthaltes gab es 
tägliche PCR-Tests und tägliches Über- 
mitteln der Körpertemperatur. 

Die Forschenden fanden in der An- 
droid-Version zudem eine Datei mit dem 
Namen „illegalwords.txt”. Dass China in 
Messengerdiensten und auf Webseiten 
bestimmte Begriffe zensiert, war schon 
seit Längerem bekannt. Gemäß Citizen 
Lab blockierte die Chatfunktion 2442 
Wörter, darunter der Name des chinesi- 
schen Staatschefs Xi Jingping oder „Ti- 
ananmen”, der Name des Pekinger Plat- 
zes, auf dem das kommunistische Re- 
gime 1989 Proteste blutig niederschlug. 

Auch die Sportverbände sahen die 
App kritisch. Der Deutsche Olympi- 
sche Sportbund (DOSB) und andere 
nationalen Sportverbände haben den 
Athletinnen und Athleten empfohlen 
My2020 nicht auf ihrem persönlichen 
Gerät zu installieren. Der DOSB stellt 
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der deutschen Delegation dafür Sponso- 
ren-Smartphones zur Verfügung. Beim 
„leam-D-Call” des DOSB hielt Thomas 
Biere, Referatsleiter beim Bundesamt 
für die Sicherheit in der Informations- 
technik (BSI), eine 15-seitige Power- 
Point-Präsentation und beschrieb die 
Risiken der App. Offiziell sollte diese den 
chinesischen Behörden dazu dienen, 
wegen der Pandemie den Gesundheits- 
status im Blick zu halten. In der App 
sollten die Olympioniken auch medizi- 
nische Daten wie den Impfstatus hinter- 
legen. Wenig vertrauensvoll war, dass 
die Teilnehmenden in der App bereits 
zwei Wochen vor der Anreise täglich 
ihre Körpertemperatur eintragen muss- 
ten. Biere wies darauf hin, dass die App 
laut Googles Play Store 44 Berechtigun- 
gen verlangt, z.B. „im Hintergrund auf 
den Standort zugreifen” und „Kontakte 
lesen“. Am Eröffnungstag der Spiele war 
zumindest Letzteres nicht mehr in der 
Auflistung zu finden; aufgeführt waren 
noch 34 Berechtigungen. 

Das BSI empfahl den Olympia-Teilneh- 
menden die App nur auf einem Zweit- 
handy zu nutzen, nicht auf dem persön- 
lichen. Es empfahl keinerlei persönliche 
Daten oder Chats auf dem Smartphone, 
auf dem My2022 läuft, zu speichern. 
Außerdem heißt es unter Punkt 9 der 
Sicherheitshinweise: „Lassen Sie Ihre 
Geräte nicht aus den Augen” - nicht 
einmal im Hotelzimmer-Safe. Für die 
Zeit nach der Rückkehr: „My2022 dein- 
stallieren, Handy entsorgen“. Auch Me- 
dienvertreter nutzten Wegwerfhandys 
und -laptops. Auch das niederländische 
Nationale Olympische Komitee (NOK) 
verteilte „saubere“ Geräte, die nach der 
Rückkehr aus China vernichtet werden 
sollten. 

Beim Veranstalter der Spiele, dem In- 
ternational Olympic Committee (IOC), 
sah man keine Probleme mit My2022. 
Die Anwendung sei ein „wichtiges Werk- 
zeug der Anti-Covid-19-Maßnahmen”. 
Die App sei ja nicht verpflichtend. Man 
könne statt der App ja auch die Web- 
Version von My2022 verwenden. Dies 
war aber wenig praktikabel, da die Teil- 
nehmenden der Spiele mehrmals täglich 
Testergebnisse oder Impfzertifikate über 
die Plattform vorzeigen mussten. Das 
IOC weiter: „Der Ton wird nicht heimlich 
mitgeschnitten oder analysiert”. Apple 
und Google hätten die App ja schließlich 
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in ihren Stores freigegeben (Koopmann, 
Alles im Blick, SZ 05./06.02.2022, 
2; Catuogno, Überwachung trifft auf 
Omikron, SZ 02.02.2022, 27; Knop, My 
2022: Experte erhebt Spionagevorwürfe 
gegen Chinas Olympia-App, www.heise. 
de 28.01.2022, Kurzlink: https://heise. 
de/-6342124). 


Russland 


Telefonverbindungsaktion 
gegen Staatsführung 


Mit 5.000 von Militärs, Geheim- 
dienstlern und Politikern in Russland 
erbeuteten Telefonnummern startete 
das Kunstkollektiv „The Obfuscated 
Dreams of Scheherazade” (TODS) einen 
ambitionierten Telefonstreich unter 
dem Begriff „Wasterussiantime”: Klickt 
man auf einer Website einen Button, 
startet eine Telefonkonferenz zwi- 
schen zwei zufällig ausgewählten An- 
schlüssen. Hochrangigen russischen 
Militärs, Geheimdienstleuten und 
Politikern soll es mit den Anrufen er- 
schwert werden sich auf ihre Arbeit zu 
konzentrieren, so eine Pressemeldung 
von TODS: „Stell dir vor, du willst ein 
Verbrechen gegen die Menschlichkeit 
organisieren, aber dein Telefon hört 
einfach nicht auf zu klingeln!” Beson- 
dere Unruhe soll der Umstand verbrei- 
ten, dass am anderen Ende der Leitung 
jeweils ebenfalls ein Mitglied der russi- 
schen Führungskaste ist. 

Die Leute von TODS hatten die Idee be- 
reits am zweiten Tag des Ukrainekrieges, 
nachdem sie 5.000 Telefonnummern, 
unter anderem von Geheimdienstleuten 
und Duma-Mitarbeitern aus mehreren 
Leaks erhalten hatten. Klickt man auf 
der seit dem 18.05.2022 freigeschal- 
teten Website wasterussiantime.today 
einen Button, startet ein „Dialer“ eine 
Art Telefonkonferenz zwischen zwei zu- 
fällig ausgewählten Nummern aus dem 
Leak. Kommt die Verbindung zustande, 
kann man unbemerkt zuhören, wie die 
beiden unfreiwilligen Gesprächspartner 
sich gegenseitig zu erklären versuchen, 
was gespielt wird. Sie erfahren dabei 
nichts von der Identität der Person, die 
den Anrufvon der Website gestartet hat. 
Es gibt auch keine Möglichkeit, zu den 
Russen zu sprechen. 


Angesichts des russischen Überfalls 
auf die Ukraine halten die Kunstaktivis- 
ten ihre zweifellos illegale „interaktive 
Performance-Installation” für legitim, 
so eine TODS-Vertreterin, die sich „Ne- 
ferneferuaten Myrnyy“ nennt: „Wir sind 
militante Pazifisten. Wir wählen gewalt- 
freie Methoden, um gegen diesen Krieg 
zu kämpfen. Deshalb haben wir uns für 
diese zivile, friedliche Intervention ent- 
schieden.” Ziel sei es Verunsicherung 
und Paranoia unter den Mitorganisato- 
ren des Kriegs zu säen, so ihr Mitstreiter 
„Shera”: „Sie werden sich fragen: Wer 
kennt unsere Telefonnummern? Werden 
wir abgehört?” 

Ihre Aktion soll „für etwas Schönheit 
auch in dunkelsten Zeiten” sorgen und 
positioniert sich zwischen den Polit- 
Pranks des „Peng!-Kollektivs“, des 
„Zentrums für Politische Schönheit” 
und dem „Hacktivism” von Gruppen wie 
Anonymous. Das Kollektiv besteht ge- 
mäß ironischer Selbstdarstellung aus 
„Artists, Scientists and Dentists”, also 
Künstlern, Wissenschaftlern und Zahn- 
ärzten. Sie wissen aber genau, mit wem 
sie es hier aufnehmen. Deshalb kom- 
munizieren sie nur mit größter Vorsicht 
und verstecken sich hinter Pseudony- 
men und erfundenen Geschichten. Wo- 
chenlang, erzählen sie, haben sie auch 
daran gearbeitet ihre Installation gegen 
Hacker zu isolieren. Ob es funktioniert 
hat, ob sie den erwarteten Attacken 
nur Stunden, ein paar Tage oder länger 
standhalten wird, wollten sie nicht vor- 
hersagen (Häntzschel, Hallo? Hier 
spricht die Duma, SZ 19.05.2022, 1). 


USA 


Internetdaten bedrohen 
Menschen in der Abtrei- 
bungsauseinandersetzung 


Mit der Eskalation der Auseinanderset- 
zung um Abtreibung in den USA werden 
Daten über Schwangerschaft, Schwan- 
gerschaftsabbruch und über Meinungen 
dazu plötzlich gefährlich, wenn sie in fal- 
sche Hände geraten. Während der oberste 
Gerichtshof daran arbeitete eine Grund- 
satzentscheidung zum Abtreibungsrecht 
aufzuheben, wurde über einen Bericht 
des Tech-Magazins „Motherboard“ be- 
kannt, dass es bis vor Kurzem möglich 
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war, bei dem US-Datenhändler Safegraph 
Aufenthaltsinformationen zu kaufen, 
die Einblick darüber geben, welche Grup- 
pen von Menschen Abtreibungskliniken 
besuchten. Aus den für wenige Hundert 
US-Dollar angebotenen Daten lässt sich 
schließen „woher die Besuchergruppen 
kamen, wie lange sie sich dort aufhielten 
und wohin sie anschließend gingen.” 

GPS-Daten sind längst nicht das einzi- 
ge Mittel, um Schwangerschaften allein 
über das Internet eindeutig zu identifi- 
zieren und den betroffenen Nutzenden 
z.B. Anzeigen über Babykleidung auszu- 
spielen. Auf Twitter berichten z.B. Frau- 
en davon, dass sie Angst vor der weiteren 
Nutzung von Apps zum Zyklustracking 
haben, und dass sie den Ratschlag geben 
diese Daten schnellstmöglich zu löschen 
(Moostedt, Vertracktes Zyklustracking, 
SZ 09.05.2022, 10). 


Afghanistan 


Ehemalige GIZ-Mitarbeiter 
durch zurückgelassene Do- 
kumente in Lebensgefahr 


Die deutsche bundeseigene Entwick- 
lungshilfeagentur Gesellschaft für In- 
ternationale Zusammenarbeit (GIZ) 
führte in Afghanistan ein Bildungspro- 
jekt durch, in dem sie etwa 3.200 Afgha- 
ninnen und Afghanen beschäftigte, die 
Polizeikräften u.a. Lesen und Schreiben 
beibrachten. Anders als etwa Übersetze- 
rinnen und Übersetzer der Bundeswehr 
werden die am Polizeiprojekt beteiligten 
Personen von der Bundesregierung im 
Allgemeinen nicht als Ortskräfte aner- 
kannt und erhalten daher kein Visum für 
die Ausreise nach Deutschland. Pressere- 
cherchen zeigen, dass diese Menschen in 
großer Gefahr sind. Grund sind zahlrei- 
che Spuren, die das GIZ-Polizeiprojekt 
hinterlassen hat und die die Frage auf- 
werfen, ob die GIZ die Daten ihrer Mitar- 
beitenden ausreichend geschützt hat. 

Die Lehrerinnen und Lehrer mussten 
vor Arbeitsantritt Sicherheitsüberprü- 
fungen durchlaufen und dies der GIZ 
mit Dokumenten belegen. Afghanische 
Sicherheitsbehörden erfassten dabei un- 
ter anderem Namen, Geburtsdaten sowie 
wohl auch biometrische Daten - Finger- 
abdrücke und Iris-Scans. Die ehemaligen 
GIZ-Kräfte gehen davon aus, dass diese 
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Daten weiterhin in Polizeicomputern 
und Datenbanken gespeichert sind, auf 
die jetzt die Taliban Zugriff haben. 

Betroffene berichten, dass sie aus die- 
sem Grund keine Reisepässe beantragen. 
Sie fürchten, die Daten könnten sie als 
ehemalige GIZ-Mitarbeitende verraten. 
Die GIZ gab an, die Sicherheitsüberprü- 
fungen seien von afghanischen Behör- 
den durchgeführt worden. Die GIZ sei 
daran nicht beteiligt gewesen. Ob die af- 
ghanischen Behörden auch biometrische 
Daten aufgenommen haben, sei der GIZ 
nicht bekannt. Vorliegende Erkenntnisse 
aus solchen Sicherheitsüberprüfungen 
bestätigen jedoch, dass biometrische 
Daten erhoben wurden. E-Mails belegen, 
dass Mitarbeitende des Projekts der GIZ 
solche Dokumente übersandt haben. 

Mitarbeitende mieteten zudem in 
mehreren afghanischen Provinzen La- 
gerräume an, um Bücher, Unterlagen 
und Lehrmaterial aufzubewahren. Viele 
dieser Lagerräume waren offenbar auch 
neun Monate nach Machtübernahme der 
Taliban nicht geräumt. In einigen sollen 
Teilnahmelisten und Dokumente über 
die Sicherheitsüberprüfungen lagern. 
Ehemalige Mitarbeitende fürchten nach 
eigenen Angaben um ihr Leben, falls 
die Räume entdeckt und die Dokumente 
in die Hände der Taliban gelangen soll- 
ten. Auf Facebook finden sich Fotos von 
Lagerräumen, die in einer Provinz offen- 
bar von den Taliban entdeckt und ausge- 
räumt worden sind. Über dem Facebook- 
Eintrag steht, man habe zwei „versteckte 
Lagerhäuser” ausfindig gemacht. 

Ein ehemaliger 34-jähriger Mitarbeiter 
der GIZ berichtet: „Wir leben in Angst. 
Jeden Tag, in jedem Moment.” Seit der 
Machtübernahme der Taliban sei er mit 
seiner Familie auf der Flucht und verste- 
cke sich fernab seiner Heimatprovinz. 
Einer seiner ehemaligen Kollegen sei 
getötet worden, andere seien gefoltert 
worden. „Wenn meine Kollegen und ich 
gewusst hätten, dass unsere Arbeit sol- 
che Folgen nach sich zieht, hätten wir 
niemals für die GIZ und Deutschland ge- 
arbeitet.” Ein ehemaliger GIZ-Mitarbeiter 
berichtete, seit der Machtübernahme der 
Taliban habe er keine ruhige Nacht mehr 
gehabt, weil er ständig auf der Flucht ist. 
Deutschland habe ihn vergessen. 

Die GIZ gibt an, man habe die Mitarbei- 
tenden weder angewiesen, noch ihnen 
dazu geraten Räume zu mieten, um Ma- 


terial zu lagern. Allerdings zeigen Trans- 
portunterlagen und E-Mails, dass die GIZ 
Hunderte Kilogramm Bücher und Lehr- 
material an die Mitarbeitenden geliefert 
hat. Ein Mitarbeiter berichtet, die GIZ 
habe trotz Nachfragen keine Lösung für 
die Lagerung des Materials angeboten. 

Anna-Lena Uzman hat für die Hilfs- 
organisation Mission Lifeline mit zahl- 
reichen ehemaligen Mitarbeitenden des 
GIZ-Polizeiprojekts gesprochen: „Wir 
wissen, dass die Dokumente nicht in ei- 
ner Art und Weise aufgehoben worden 
sind, wie es nach deutschen Standards 
angebracht gewesen wäre, sondern in La- 
gerhäusern, ungesichert, ungeschützt.” 
Sie habe von ihren Kontakten Informa- 
tionen über 34 dieser Lagerräume erhal- 
ten, schließt aber nicht aus, dass esnoch 
mehr gab. Für Uzman steht außer Frage, 
dass ehemalige Mitarbeitende aufgrund 
ihrer Tätigkeit für das GIZ-Polizeiprojekt 
gefährdet sind: „Sie werden deshalb von 
den Taliban als Teil der Sicherheitskräfte 
betrachtet.” 

Das Auswärtige Amt, in dessen Auf- 
trag die GIZ das Projekt durchführte, 
ließ Fragen zur Situation der ehemaligen 
Mitarbeitenden unbeantwortet. Das für 
die GIZ zuständige Bundesentwicklungs- 
ministerium gibt an, Erkenntnisse über 
eine systematische Verfolgung von ehe- 
maligen Ortskräften der Entwicklungs- 
zusammenarbeit oder Werkvertragsneh- 
mern lägen nicht vor. Dies schließe nicht 
aus, dass es in einzelnen Fällen zu indi- 
viduellen Gefährdungen kommen könne 
oder gekommen sei. Für diese Menschen 
bestehe die Möglichkeit, eine Gefähr- 
dungsanzeige beim jeweiligen ehemali- 
gen Arbeitgeber zu stellen. 

Die Sprecherin für Fluchtpolitik der 
Linkspartei im Bundestag, Clara Bünger, 
stellte fest, dass sich die GIZ keine Ge- 
danken gemacht hat, wie die Sicherheit 
der afghanischen Mitarbeiter geschützt 
werden könne. Sie forderte gefährdete 
Menschen schnell zu evakuieren: „Das 
Dramatische ist, dass man sehenden Au- 
ges diese Menschen alleine zurücklässt. 
Und da müssen wir einfach schneller han- 
deln. Da muss mehr passieren” (Ciesiel- 
ski/Zierer, Ehemalige GIZ-Mitarbeiter in 
Gefahr, wwwr.tagesschau.de 17.05.2022, 
vgl. DANA 4/2021, 258 ff). 
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Rechtsprechung 


EuGH 


Deutsche Verbandsklage ist 
mit DSGVO vereinbar 


Der Europäische Gerichtshof (EuGH) 
hat am 28.04.2022 geurteilt, dass Ver- 
braucherschutzverbände gegen Verlet- 
zungen des Schutzes personenbezoge- 
ner Daten gemäß des nationalen Rechts 
der EU-Mitgliedstaaten stellvertretend 
für Konsumenten klagen können (C- 
319/20). Es ist zulässig, dass ein solches 
gerichtliches Vorgehen unabhängig von 
einem Verstoß gegen das Recht einer be- 
stimmten betroffenen Person und ohne 
entsprechenden Auftrag erfolgt. 

Den Fall hatte der Bundesgerichtshof 
(BGH) dem EuGH im April 2019 vorge- 
legt. In dem Rechtsstreit zwischen dem 
Bundesverband der Verbraucherzent- 
ralen (vzbv) und der Facebook-Mutter 
Meta geht es darum, ob ein potenzieller 
Datenschutzverstoß des Betreibers eines 
sozialen Netzwerks auch wettbewerbs- 
rechtliche Unterlassungsansprüche be- 
gründet und von Verbraucherschutzver- 
bänden durch eine Klage vor den Zivilge- 
richten verfolgt werden kann. Der BGH 
hielt ein solches Vorgehen des vzbv für 
begründet, hegte aber Zweifel an dessen 
Zulässigkeit aufgrund der Stellvertreter- 
funktion des Verbands. Zugleich merkte 
der BGH an, dass vor allem die zuständi- 
gen Aufsichtsbehörden prüfen müssten, 
ob die Datenschutz-Grundverordnung 
(DSGVO) eingehalten werde. 

Der EuGH stellt in dieser Rechtssache 
fest, dass die DSGVO einer nationalen 
Regelung nicht entgegensteht, nach der 
ein Verband zur Wahrung von Verbrau- 
cherinteressen gegen den mutmaßlichen 
Datenschutzverletzer eine Art Sammel- 
klage erheben kann. Voraussetzung sei, 
dass es um einen Verstoß etwa gegen 
das Verbot der Vornahme unlauterer 
Geschäftspraktiken, gegen ein Verbrau- 
cherschutzgesetz oder das Gebot wirksa- 
mer Allgemeiner Geschäftsbedingungen 
(AGBs) gehe. Ferner müsse die betreffen- 
de Datenverarbeitung die Rechte iden- 
tifizierter oder identifizierbarer natür- 
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licher Personen aus dieser Verordnung 
beeinträchtigen können. 

Der EuGH bestätigt, dass die DSGVO 
zwar grundsätzlich eine volle Rechtshar- 
monisierungin der gesamten EUvorsehe. 
Allerdings eröffnen einige Bestimmun- 
gen den Mitgliedstaaten die Möglichkeit 
innerhalb ihres Ermessensspielraums zu- 
sätzliche nationale Vorschriften zu erlas- 
sen. Diese dürften nur nicht „gegen den 
Inhalt und die Ziele dieser Verordnung 
verstoßen“. Verbandsklagen seien an 
eine Reihe von Anforderungen geknüpft. 
Eine berechtigte Institution müsse ein 
im Öffentlichen Interesse liegendes Ziel 
verfolgen, das darin besteht die Rech- 
te der Verbraucher zu gewährleisten. 
Der Verband müsse den Fall zudem so 
einschätzen, dass seines Erachtens die 
Rechte einer betroffenen Person gemäß 
der DSGVO direkt verletzt worden sind. Es 
sei dagegen nicht nötig ein solches Indi- 
viduum im Voraus konkret zu ermitteln. 
Eine solche Auslegung stehe im Einklang 
mit dem Ziel der DSGVO ein hohes Daten- 
schutzniveau zu gewährleisten. 

Der Gerichtshof folgte damit im Kern 
den Schlussanträgen des Generalan- 
walts Richard dela Tour, der meinte, bei 
der Unterlassungsklage des vzbv gegen 
Meta gehe es um einen potenziellen 
Verstoß gegen die datenschutzrechtli- 
che Pflicht die Nutzer über Umfang und 
Zweck der Erhebung und Verwendung 
ihrer Daten zu unterrichten. 

Der BGH hatte im Vorlageverfahren 
moniert, dass Facebook den Nutzern 
die erforderlichen Informationen nicht 
in präziser, transparenter, verständli- 
cher und leicht zugänglicher Form in 
einer klaren und einfachen Sprache 
übermittelt, worin der BGH, der nun 
sein Urteil fällen kann, einen Verstoß 
gegen die DSGVO sieht. In dem Ver- 
fahren geht es um das von Facebook 
betriebene App-Zentrum, über das 
kostenlos Online-Spiele anderer An- 
bieter zugänglich gemacht werden. Der 
Nutzer erteilte mit dem Button „Sofort 
spielen“ den Betreibern der Anwen- 
dungen die Genehmigung viele seiner 
persönlichen Daten zu sammeln und 


auszuwerten. In einem Hinweis hieß 
es: „Durch das Anklicken von ‚Spiel 
spielen’ oben erhält diese Anwendung: 
Deine allgemeinen Informationen, 
Deine-Mail-Adresse, Über Dich, Deine 
Statusmeldungen. Diese App darf in 
deinem Namen posten”, einschließlich 
der Angabe des Punktestands. Der vzbv 
klagte, weil er diese Angaben für unzu- 
reichend hielt und darin keine wirksa- 
me Einwilligung in die Datennutzung 
erkennen konnte. Er sieht darin zudem 
einen wettbewerblichen Verstoß. 

In Deutschland gibt es seit rund drei 
Jahren zudem das Instrument der Mus- 
terfeststellungsklage. Dabei müssen 
im ersten Schritt mindestens zehn, 
später 50 geschädigte Verbraucher 
mitmachen. Bekannt ist vor allem das 
Vorgehen von Verbraucherschützern 
auf Basis dieses Instruments gegen 
VW aufgrund der Dieselaffäre. Gewinne 
etwa aus Datenmissbrauch lassen sich 
über das Werkzeug bislang hierzulan- 
de nicht abschöpfen. Dies sehen aber 
neue Pläne für EU-weite Sammelklagen 
vor (Krempl, EuGH: Verbraucherschüt- 
zer dürfen Facebook wegen Daten- 
schutzverstoß verklagen, www.heise. 
de 28.04.2022, Kurzlink: https:// 
heise.de/-7068179). 


EuGH 


TK-Vorratsdatenspeiche- 
rung nur unter engen 
Voraussetzungen 


Der Gerichtshof der Europäischen 
Union (EuGH) hat mit Urteil vom 
05.04.2022 das Verbot der Vorratsda- 
tenspeicherung bestätigt (C-140/20) 
und bekräftigt, „dass das Unionsrecht 
einer allgemeinen und unterschiedslo- 
sen Vorratsspeicherung von Verkehrs- 
und Standortdaten, die elektronische 
Kommunikationen betreffen, zur Be- 
kämpfung schwerer Straftaten entge- 
gensteht”. Wie schon zuvor bestätigte 
das Gericht, dass eine gezielte Vorrats- 
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speicherung für bestimmte Personenka- 
tegorien und nach einem geografischen 
Kriterium nach EU-Recht zulässig sein 
kann, ohne dass konkrete Anhaltspunk- 
te dafür vorliegen, dass schwere Strafta- 
ten vorbereitet oder begangen werden. 
Das bezieht sich auf Orte oder Infra- 
strukturen, die regelmäßig von sehr vie- 
len Personen aufgesucht werden, oder 
auf strategische Orte wie Flughäfen, 
Bahnhöfe, Seehäfen oder Mautstellen. 
Hier sei es den zuständigen Behörden 
möglich zur Bekämpfung schwerer Kri- 
minalität die Anwesenheit der Personen 
zu ermitteln, die dort ein elektronisches 
Kommunikationsmittel benutzen. 

In dem Verfahren ging es um einen 
Mann, der 2015 wegen Mordes an einer 
Frau in Irland zu einer lebenslangen 
Freiheitsstrafe verurteilt wurde. Dieser 
ging gegen das Urteil vor, weil seines 
Erachtens zu Unrecht Verkehrs- und 
Standortdaten verwendet wurden. Der 
irische High Court folgte dem Einwand, 
die irische Regierung legte Rechtsmit- 
tel beim Supreme Court des Landes ein, 
der wiederum den Fall dem EuGH zur 
Klärung vorlegte. Dieser stellte bei der 
Gelegenheit auch klar, dass nationale 
Gesetze dazu verpflichten können die 
Identität von Prepaid-SIM-Karten-In- 
habern zu speichern. Dem stehe weder 
ein Unions-Rechtsakt noch die Daten- 
schutzrichtlinie entgegen. Auch sei 
„Quick Freeze” zulässig, aber nur zur 
Bekämpfung schwerer Kriminalität oder 
zur Verhütung der Bedrohung der nati- 
onalen Sicherheit. Bei „Quick Freeze” 
werden Internetprovider erst bei einem 
Anfangsverdacht aufgefordert Daten zu 
einzelnen Teilnehmern für einen be- 
stimmten Zeitraum zu speichern. 

Der Gerichtshof weist darauf hin, na- 
tionale Gerichte seien zuständig dar- 
über zu entscheiden, ob Beweismittel 
zulässig sind, die durch Vorratsdaten- 
speicherung gewonnen wurden. Dabei 
gilt laut dem Gericht, dass die Daten- 
schutzrichtlinie für elektronische Kom- 
munikation den Mitgliedstaaten zwar 
gestattet Grundrechte unter anderem 
zum Zweck der Bekämpfung von Straf- 
taten zu beschränken, dabei müsse aber 
der Grundsatz der Verhältnismäßigkeit 
gewahrt werden. 

Der EuGH hatte schon mit Urteil vom 
08.04.2014 entschieden, dass das EU- 
Gesetz zur Vorratsdatenspeicherung 
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gegen europäisches Recht verstößt und 
ungültig ist (C-293/12, C-594/12). Mit 
Urteil vom 19.10.2016 bestätigte das 
Gericht, dass anlasslose Vorratsda- 
tenspeicherung illegal ist (C-582/14, 
DANA 4/2016, 201). Mit Urteil vom 
06.10.2020 befand der Gerichtshof, 
Ausnahmen bei der Übermittlung und 
Speicherung von Verbindungsdaten 
seien möglich zur Bekämpfung schwe- 
rer Kriminalität oder im Fall einer Be- 
drohung der nationalen Sicherheit 
(C-511/18, C.512/18, C-520/18, DANA 
4/2020, 263 ff.). Zuletzt erklärte der 
EuGH mit Urteil vom 02.03.2021 die 
estnische Vorratsdatenspeicherung für 
grundrechtswidrig (C-746/18, DANA 
2/2021, 136). Der Druck auf den EuGH 
aus den EU-Mitgliedsstaaten hatte in 
den vergangenen Jahren zugenommen. 
In den mündlichen Verhandlungen wie 
auch hinter den Kulissen versuchten 
sie das Gericht von seiner grundrechts- 
freundlichen Linie abzubringen mit 
dem Argument, Verkehrs- und Stand- 
ortdaten seien für die Kriminalitätsbe- 
kämpfung unabdingbar. 

Eine deutsche Regelung zur Vorrats- 
datenspeicherung liegt wegen eines 
anhaltenden Rechtsstreits seit 2017 
auf Eis. Das Bundesverwaltungsgericht 
hatte mit Beschluss vom 25.09.2019 
dazu den EuGH angerufen (6 C 12.18 
u.a., DANA 4/2019, 237 £.). Einen Ter- 
min für das EuGH-Urteil in diesem Fall 
gibt es einem EuGH-Sprecher zufolge 
noch nicht. Die Ampel-Koalition will an- 
stelle der Vorratsdatenspeicherung auf 
das „Quick-Freeze”-Verfahren setzen 
(Janisch, Anlassloses Datenspeichern 
bleibt tabu, SZ 06.04.2022, 5; Wilkens, 
EU-Gerichtshof bestätigt Verbot der 
Vorratsdatenspeicherung mit Ausnah- 
men, www.heise.de 05.04.2022, Kurz- 
link: https://heise.de/-6663202; EuGH 
betont enge Grenzen für anlasslose Da- 
tenspeicherung, www.sueddeutsche.de 
05.04.2022). 


TC Portugal 


TK-Vorratsdatenspeiche- 
rung verfassungswidrig 


Das portugiesische Verfassungsge- 
richt, das Tribunal Constitucional (TC), 
hat mit Urteil vom 19.04.2022 die ent- 


scheidenden Klauseln zur Vorratsdaten- 
speicherung in einem nationalen Gesetz 
von 2008 für verfassungswidrig erklärt 
(Processo n.° 828/2019, ACÖRDÄO N.° 
268/2022). Die für nichtig erklärten 
Artikel sahen vor, dass die Anbieter von 
Telekommunikations- und Internet- 
Diensten alle Verbindungs- und Stand- 
ortdaten selbst bei vergeblichen An- 
rufversuchen für einen Zeitraum von ei- 
nem Jahr speichern und zur Verhütung 
sowie Verfolgung schwerer Straftaten 
herausgeben mussten. 

Das Urteil stellt fest, dass die Vor- 
gaben „das Recht des Betroffenen auf 
Kontrolle und Überprüfung der Ver- 
arbeitung der ihn betreffenden Daten 
sowie die Wirksamkeit der verfassungs- 
rechtlichen Garantie der Prüfung durch 
eine unabhängige Verwaltungsbehörde 
in Frage” stellt. „Eine undifferenzierte 
und verallgemeinerte Verpflichtung zur 
Speicherung“ sämtlicher Verkehrsda- 
ten aller Personen schränke „das Recht 
auf Privatsphäre und informationelle 
Selbstbestimmung in unverhältnismä- 
Riger Weise ein”. Mit dem Instrument 
ließen sich „jederzeit Aspekte des Pri- 
vat- und Familienlebens der Bürger 
offenbaren”. Es ermögliche es zudem 
„den Aufenthaltsort des Einzelnen je- 
den Tag und über den ganzen Tag hin- 
weg zu verfolgen und festzustellen, mit 
wem er Kontakt hat, wie lange und wie 
regelmäßig er kommuniziert”. Die Vor- 
ratsdatenspeicherung tangiere auch 
Personen, bei denen kein Verdacht auf 
kriminelle Handlungen besteht: „Sie er- 
fasst die elektronische Kommunikation 
fast der gesamten Bevölkerung, ohne 
jede Differenzierung, Ausnahme oder 
Abwägung mit dem verfolgten Ziel.” 

Das Verfassungsgericht erklärte zu- 
dem einen Artikel für ungültig, wonach 
Betroffene nicht in jedem Fall über ei- 
nen Zugriff der Ermittlungsbehörden 
auf die gespeicherten Daten informiert 
werden mussten. Ausnahmen dürften 
allenfalls gelten, um etwa das Leben 
oder die körperliche Unversehrtheit ei- 
nes Dritten nicht zu gefährden. Mit den 
Einschränkungen sei Betroffenen „jede 
wirksame Kontrolle über die Rechtmä- 
Rigkeit und Ordnungsmäßigkeit die- 
ses Zugriffs entzogen” worden. Damit 
habe etwa der Anspruch auf effektiven 
Rechtsschutz nicht gewährleistet wer- 
den können. 
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Die portugiesische höchstrichterliche 
Entscheidung folgt auf die Grundsatzur- 
teile des Europäischen Gerichtshofs von 
2014 und 2016, in denen die Luxem- 
burger Richter die EU-Richtlinie, die 
dem portugiesischen Gesetz zugrun- 
de lag, wegen Verstoß gegen die EU- 
Grundrechtecharta für ungültig erklärt 
hatten. Damit blieben nationale Vor- 
schriften zur Vorratsdatenspeicherung 
zunächst aber in Kraft. In Portugalhatte 
sich die Bürgerrechtsorganisation Defe- 
sa dos Direitos Digitais (D3) Ende 2017 
daher an den Ombudsmann mit dem Ap- 
pell gewandt die Angelegenheit vor das 
Verfassungsgericht zu bringen. Der Bür- 
gerbeauftragte stimmte der Beschwerde 
2019 zu und empfahl der Regierung eine 
Gesetzesänderung. Diese weigerte sich 
aber die nationalen Vorgaben mit den 
Grundrechten der Bürger in Einklang zu 
bringen. Noch im gleichen Jahr bat der 
Ombudsmann daher die Verfassungshü- 
ter um eine Entscheidung. 

Bis zu dem nun erfolgten Urteil ver- 
gingen seit der D3-Beschwerde 32 Mo- 
nate. Der Präsident der Bürgerrechtsver- 
einigung, Eduardo Santos, sprach daher 
vom „Ergebnis eines langen Weges“. 
Endlich sei damit „die verfassungsge- 
mäße Normalität wiederhergestellt”. 
Die Bürger dürften nicht pauschal 
verdächtigt werden kriminell zu sein. 
Trotz der klaren EuGH-Ansagen landen 
Auseinandersetzungen über nationale 
Gesetze zum anlasslosen Protokollieren 
von Nutzerspuren immer wieder vor dem 
höchsten europäischen Gericht. Die Lu- 
xemburger Richter erklärten so jüngst 
etwa die Vorschriften in Belgien, Frank- 
reich, Großbritannien und Estland für 
unvereinbar mit dem EU-Recht (in die- 
sem Heft s.o.). 

Das deutsche Gesetz zur mehrwöchi- 
gen Vorratsdatenspeicherung ist auf- 
grund von Entscheidungen von Verwal- 
tungsgerichten ausgesetzt. Es wird vom 
Bundesverfassungsgericht und dem 
EuGH überprüft. Der Wissenschaftliche 
Dienst des Bundestags geht davon aus, 
dass die Vorgaben nicht zu halten sind. 
Der EuGH-Generalanwalt Manuel Cam- 
pos Sänchez-Bordona hat sich in seinem 
Plädoyer dieser Sicht angeschlossen. 
Die alte schwarz-rote Bundesregierung 
hatte sich im Sommer bei der EU-Kom- 
mission noch gemeinsam mit anderen 
EU-Staaten für eine aufgebohrte Vor- 
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ratsdatenspeicherung stark gemacht 
(Krempl, Privatsphäre: Portugiesisches 
Verfassungsgericht kippt Vorratsdaten- 
speicherung, www.heise.de 01.05.2022, 
Kurzlink: https://heise.de/-7070624). 


BVerfG 


Bayerisches Verfassungs- 
schutzgesetz ist 
verfassungswidrig 


Das Bundesverfassungsgericht 
(BVerfG) in Karlsruhe hat mit einem 
buchdicken Urteil vom 26.04.2022 wei- 
te Teile der im bayerischen Landesver- 
fassungsschutzgesetz von 2016 vorge- 
sehenen Überwachungskompetenzen 
für verfassungswidrig erklärt (1 BvR 
1619/17). Die Befugnisse der bayeri- 
schen Verfassungsschützer bei Wohn- 
raumüberwachung, Online-Durchsu- 
chung, Handy-Ortung und beim Einsatz 
von verdeckten Mitarbeitern verstoßen 
gegen Grundrechte der Bürger. Geklagt 
hatten drei direkt betroffene Mitglieder 
der „Vereinigung der Verfolgten des Na- 
ziregimes - Bund der Antifaschistinnen 
und Antifaschisten” (VVN), die vom 
Verfassungsschutzamt als links-extrem 
eingestuft wird, auf Initiative der Ge- 
sellschaft für Freiheitsrechte (GFF). 

Der Vorsitzende des Ersten Senats und 
Verfassungsgerichtspräsident Stephan 
Harbarth, der gleich zu Beginn der Ur- 
teilsverkündung klarstellte, dass dem 
Gericht durchaus an der Sicherheit der 
Republik gelegen ist, erläuterte das mit 
Spannung erwartete Grundsatzurteil: 
„Maßnahmen, die zu einer weitestge- 
henden Erfassung der Persönlichkeit 
führen können, unterliegen denselben 
Verhältnismäßigkeitsanforderungen 
wie polizeiliche Überwachungsmaß- 
nahmen. Sonstige heimliche Überwa- 
chungsbefugnisse von Verfassungs- 
schutzbehörden müssen hingegen 
nicht an das Vorliegen einer Gefahr im 
polizeilichen Sinne geknüpft werden.” 
Je gewichtiger der Eingriff, desto be- 
deutsamer muss auch der Grund für die 
Überwachung sein. 

Die Verfassungsrichter trennen klar 
zwischen polizeilicher und geheim- 
dienstlicher Arbeit. Der Verfassungs- 
schutz hat bei seiner ureigensten Aufga- 
be der Vorfeldüberwachung in der Regel 


größere Spielräume. Überwachungen, 
die tiefin das Grundrecht auf freie Ent- 
faltung, Unverletzlichkeit der Wohnung 
oder Unverletzlichkeit der informati- 
onstechnischen Systeme eingreifen, 
müssen an hohe Eingriffsschwellen, 
etwa einen konkreten Verdacht gegen- 
über dem Überwachten, gebunden blei- 
ben. Der Inlandsgeheimdienst darf kei- 
ne Superpolizei werden. 

Die akustische und optische Wohn- 
raumüberwachung muss ebenso wie die 
Online-Durchsuchung an die Abwehr ei- 
ner konkreten Gefahr geknüpft werden. 
Der Geheimdienst darf dies letztlich nur 
subsidiär machen, wenn geeignete poli- 
zeiliche Hilfe für das bedrohte Rechts- 
gut ansonsten nicht rechtzeitig erlangt 
werden könnte. 

Der bayerische Gesetzgeber, für den 
sich Innenminister Joachim Herrmann 
(CSU) in der Verhandlung im Dezember 
2021 in die Bresche geworfen hatte, 
missachtete zudem die grundgesetzlich 
für Grundrechtseingriffe vorgesehenen 
Schutzregeln. Für den Kernbereichs- 
schutz ist es demnach nötig, dass eine 
Vorabprüfung erhobener Inhalte durch 
eine unabhängige Stelle erfolgt. Das 
BVerfG meint, niemand im Verfahren 
habe plausibel erklären können, war- 
um eine externe Kontrolle beim Verfas- 
sungsschutz nicht funktionieren solle. 

Der Einsatz von verdeckten Mitar- 
beitern, der verglichen mit Wanzen im 
Wohnzimmer weniger gefährlich er- 
scheinen mag, wird mit seinem Risiko 
beschrieben, dass „durch diese Maß- 
nahmen eine vermeintliche Vertrau- 
ensbeziehung zunächst aufgebaut und 
dann ausgenutzt” wird. Solche Romeo- 
und Venus-Fallen können, so das Ge- 
richt „sehr schwer wiegen”. 

Hinsichtlich der Weitergabe der durch 
Verfassungsschützer gewonnenen In- 
formationen urteilte der Senat nicht 
vollständig im Sinne der Beschwerde- 
führer. Diese hätten nicht ausreichend 
dargelegt, inwieweit die Übermittlung 
von Erkenntnissen an Stellen ins euro- 
päische Ausland oder nicht-öffentliche 
Stellen einen Grundrechtseingriff dar- 
stelle. Wenn die Daten nur zur Analyse 
genutzt werden, könnte eine Übermitt- 
lung in Ordnung sein. 

Das BVerfG beanstandete, soweit die 
Klagen als zulässig erkannt wurden, 
das Fehlen klarer Regeln zu den Vor- 
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aussetzungen für Übermittlungen, die 
neben der Erhebung und Speicherung 
beim Verfassungsschutz einen weite- 
ren Grundrechtseingriff darstellen. Das 
angegriffene Bayerische Verfassungs- 
schutzgesetz erlaubt die Übermitt- 
lung praktisch für jeglichen Normver- 
stoß und nicht nur beim Schutz hoher 
Rechtsgüter, was den verfassungsrecht- 
lichen Ansprüchen nicht genügt. 

Für nichtig und damit sofort hinfällig 
erklärte der Erste Senat auch die Aus- 
kunftsmöglichkeiten der Bayerischen 
Verfassungsschützer bei Telekommuni- 
kationsdienstleistern. Denn die betrof- 
fenen Diensteanbieter seien nach Bun- 
desrecht nicht zur Übermittlung an das 
Landesamt verpflichtet oder berechtigt. 
Für das Nachbessern des in vieler Hin- 
sicht verfassungswidrigen Gesetzes hat 
der bayerische Gesetzgeber bis zum 31. 
Juli 2023 Zeit. 

Das BVerfG hat den Beschwerdefüh- 
rern mit dem Urteil in den meisten As- 
pekten Recht gegeben und erzwingt so 
eine komplette Neufassung des bayeri- 
schen Gesetzes. Das wirkt, wie die GFF 
erklärte, weit über Bayern hinaus. In- 
nenminister Herrmann bestätigte: „Es 
müssen wahrscheinlich der Bund und 
alle Länder ihre Gesetze ändern. Denn 
es gibt nach meiner Kenntnis kein ein- 
ziges Gesetz, das all diesen Vorgaben, 
die heute formuliert worden sind, ent- 
spricht.” Und auch der Mainzer Staats- 
rechtler Matthias Bäcker meinte, „dass 
das gesamte Verfassungsschutzrecht 
umfassend reformiert werden muss” (Er- 
mert, Bundesverfassungsgericht kas- 
siert Bayerns Verfassungsschutzgesetz 
weitgehend, www.heise.de 26.04.2022, 
Kurzlink: https://heise.de/-7065975; 
Janisch, Die neue Bibel für den Verfas- 
sungsschutz, SZ 27.04.2022, 5; „Aus- 
wüchse beseitigen“, Der Spiegel Nr. 18 v. 
20.04.2022, 11). 


BVerfG 


Renate Künast kann 
Internet-Adressen von 
Beleidigern einfordern 


Mit Beschluss vom 19.12.2021 hat das 
Bundesverfassungsgericht (BVerfG) ei- 
ner Beschwerde der Grünen-Politikerin 
Renate Künast stattgegeben, in der sie 
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sich gegen das zivilgerichtliche Urteil 
zur Wehr setzte, wonach sie Beschimp- 
fungen und sexistische Äußerungen im 
Internet hinnehmen müsse (Az. 1 BvR 
1073/20). Wegen Verletzung ihres Per- 
sönlichkeitsrechts will die Bundestags- 
abgeordnete die Daten mehrerer Face- 
book-Nutzer erstreiten, um gerichtlich 
gegen die Verunglimpfungen vorgehen 
zu können. Zuvor hatte das Berliner 
Kammergericht (KG) lediglich 12 von 22 
Kommentaren als strafbare Beleidigun- 
gen eingestuft und in den anderen Fäl- 
len zudem den Auskunftsanspruch ver- 
weigert. Dies beruht gemäß dem BVerfG 
auf einem Fehlverständnis und falschen 
Maßstab. Zehn Äußerungen müssen 
erneut geprüft werden, dabei seien die 
Vorgaben aus Karlsruhe zu beherzigen. 
Hintergrund war ein 2016 von dem 
rechtsextremen Blogger Sven Liebich 
erstellter Facebook-Post, der Auszüge 
aus der Pädophilie-Debatte im Berliner 
Abgeordnetenhaus von 1986 enthält. 
Damals wurde eine Kollegin von Kün- 
ast durch einen Volksvertreter der CDU 
gefragt, wie sie zu einem Beschluss der 
Grünen in Nordrhein-Westfalen (NRW) 
stehe, der die Strafandrohung gegen 
sexuelle Handlungen an Kindern auf- 
heben wollte. Daraufhin warf Künast 
dazwischen: „Komma, wenn keine 
Gewalt im Spiel ist.“ Der Zwischenruf 
sollte offenkundig als Präzisierung der 
kolportierten Grünen-Forderung aus 
NRW verstanden werden. Dieses Zitat 
mit einem Portrait-Bild von Künast ver- 
wendete Liebich und ergänzte „ist Sex 
mit Kindern doch ganz o. k. Ist mal gut 
jetzt.” Nachdem Künast dagegen vor- 
ging, veröffentlichte der inzwischen zu 
einer Freiheitsstrafe von 11 Monaten 
verurteilte Blogger Anfang 2019 einen 
Facebook-Post, erneut mit einem Port- 
rät-Bild von Künast und dem Falschzi- 
tat. Zusätzlich beschwerte er sich über 
das juristische Verfahren an sich, die 
Aufforderung zur Unterlassung und ein 
in diesem Rahmen gefordertes Schmer- 
zensgeld. In seinem Post verlinkte er 
auch einen Artikel der Zeitung „Welt“ zu 
der Pädophilie-Debatte von 1986. 
Daraufhin hatten Unbekannte Künast 
unter anderem als „Stück Scheisse”, „al- 
tes grünes Dreckschwein” oder „Drecks 
Fotze” bezeichnet und noch drastische- 
re und auch sexistische Posts geschrie- 
ben. Der Fall hatte für Aufsehen gesorgt, 


weil das Landgericht (LG) in erster Ins- 
tanz entschieden hatte, dass Künast als 
Politikerin alle 22 Beschimpfungen hin- 
nehmen müsse - sie habe Widerstand 
provoziert. Auf Künasts Beschwerde 
korrigierte sich das LG teilweise. Das 
Kammergericht (KG) hielt weitere Posts 
für beleidigend. 

Die Karlsruher Richter beanstandeten 
nun die Wertung des KG zu den zehn für 
zulässig erachteten Posts, darunter die 
Formulierungen „Pädophilen-Trulla”, 
„Die alte hat doch einen Dachschaden, 
die ist hohl wie Schnittlauch man kann 
da nur noch“ und „Sie wollte auch mal 
die hellste Kerze sein, Pädodreck“. Das 
Gericht erläuterte dies: „Die Meinungs- 
freiheit wiegt umso schwerer, je mehr 
eine Äußerung darauf zielt, einen Bei- 
trag zur öffentlichen Meinungsbildung 
zu leisten. Es wiegt umso weniger, je 
mehr es lediglich um die emotionalisie- 
rende Verbreitung von Stimmungen ge- 
gen einzelne Personen geht.” Der Schutz 
der Meinungsfreiheit sei aus dem beson- 
deren Schutzbedürfnis der Machtkritik 
erwachsen und bedeutend, schreibt das 
Gericht weiter. Bürgerinnen und Bürger 
können Amtsträgerinnen und Amtsträ- 
ger anklagend und personalisiert für 
ihre Art der Machtausübung angreifen, 
„ohne befürchten zu müssen, dass die 
personenbezogenen Elemente solcher 
Äußerungen aus diesem Kontext her- 
ausgelöst werden und die Grundlage für 
einschneidende gerichtliche Sanktio- 
nen bilden“. 

Allerdings erlaubten die Gesichts- 
punkte der Machtkritik nicht jede auch 
ins Persönliche gehende Beschimpfung 
von Politikerinnen und Politikern: „Ge- 
genüber einer auf die Person abzielen- 
den, insbesondere öffentlichen Verächt- 
lichmachung oder Hetze setzt die Ver- 
fassung allen Personen gegenüber äu- 
ßerungsrechtliche Grenzen und nimmt 
hiervon Personen des öffentlichen 
Lebens und Amtsträgerinnen und Amts- 
träger nicht aus.” Auch sei bedeutend, 
ob eine Äußerung spontan in einer hit- 
zigen Situation oder mit längerem Vor- 
bedacht gefallen ist. Für die Freiheit der 
Meinungsäußerung wäre es besonders 
abträglich, wenn vor einer mündlichen 
Äußerung jedes Wort auf die Waagscha- 
le gelegt werden müsste. Bei schriftli- 
chen Äußerungen sei aber ein höheres 
Maß an Bedacht und Zurückhaltung zu 
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erwarten. Dies gelte grundsätzlich auch 
für textliche Äußerungen in den „sozia- 
len Netzwerken“ im Internet. 

Schließlich sei auch zu bedenken, 
ob eine Äußerung nur an einen kleinen 
Personenkreis geht und ob sie nicht 
schriftlich gemacht wurde, meinen die 
Richter. Dann könnte die damit verbun- 
dene Beeinträchtigung der persönli- 
chen Ehre geringfügiger und flüchtiger 
sein als im gegenteiligen Fall. Demge- 
genüber sei die beeinträchtigende Wir- 
kung einer Äußerung gesteigert, wenn 
sie in wiederholender und anprangern- 
der Weise, auch versehen mit Bildnissen 
der Betroffenen, oder besonders sicht- 
bar in einem der allgemeinen Öffent- 
lichkeit zugänglichen Medium getätigt 
wird. Ein solches Medium könne das 
Internet sein. 

Der Schutz der Persönlichkeitsrechte 
von Amtsträgern und Politikern könne 
unter den Bedingungen der Verbreitung 
von Informationen durch „soziale Netz- 
werke” im Internet schwerer wiegen: 
„Denn eine Bereitschaft zur Mitwirkung 
in Staat und Gesellschaft kann nur er- 
wartet werden, wenn für diejenigen, die 
sich engagieren und öffentlich einbrin- 
gen, ein hinreichender Schutz ihrer Per- 
sönlichkeitsrechte gewährleistet ist.” 

Aufgabe der Fachgerichte ist es ge- 
mäß dem BVerfG aufgrund der Umstän- 
de des Einzelfalles die abwägungsrele- 
vanten Gesichtspunkte herauszuarbei- 
ten und miteinander abzuwägen. Zwar 
habe das Berliner KG angedeutet, dass 
eine Abwägung notwendig sei. Verfas- 
sungsrechtlich fehlerhaft habe es die 
Voraussetzungen der Beleidigung aber 
an die Sonderform der Schmähkritik 
geknüpft. Das KG hatte entschieden, die 
strengen Voraussetzungen, die an eine 
Schmähkritik und einen Wertungsex- 
zess zu stellen seien, lägen nicht vor, 
weil die Kommentare noch einen hinrei- 
chenden Bezug zur Sachdebatte aufwie- 
sen. Das BVerfG meint dazu, das KGhabe 
die von ihm angedeutete Abwägung mit 
dem Persönlichkeitsrecht der Beschwer- 
deführerin nicht vorgenommen. Das 
müsse esnun nachholen. 

Renate Künast nannte den Beschluss 
„ein Stück Rechtsgeschichte im digita- 
len Zeitalter“. Die Gerichte seien damit 
zu einer „sehr konkreten Abwägung 
im Einzelfall verpflichtet - und dazu 
auch in den sozialen Medien Zurück- 
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haltung einzufordern“ (Koch/Wilkens, 
Hasskommentare: Renate Künast siegt 
vor dem Bundesverfassungsgericht, 
www.heise.de 02.02.2022, Kurzlink: 
https://heise.de/-6345734; Janisch, 
Renate Künast setzt sich durch, SZ 
03.02.2022,5). 


VGH Kassel 


Cookiebot mit US-Daten- 
übermittlung darf vorläufig 
weiterverarbeiten 


Auf Grund eines Beschlusses des Ver- 
waltungsgerichtshofs (VGH) Kassel vom 
17.01.2022 darf die staatliche Hoch- 
schule RheinMain den Dienst Cookiebot 
doch auf ihrer Website nutzen (Az. 10 
B 2486/21). Am 01.12.2021 hatte das 
Verwaltungsgericht (VG) Wiesbaden der 
Hochschule per einstweiliger Anord- 
nung verboten den Dienst einzusetzen 
(Az. 6 L 738/21, DANA 1/2022, 60 £.). 
Der damit verbundene Transfer von Da- 
ten in die USA sei, so das VG, rechtswid- 
rig. Dagegen hat die Hochschule - vor- 
erst mit Erfolg - Beschwerde eingelegt. 

Die Hochschule RheinMain nutzt auf 
ihrer Website den Dienst Cookiebot des 
dänischen Anbieters Cybot, um Ein- 
willigungen zum Setzen von Cookies 
einzuholen. Ein Websitebesucher, der 
in dem Online-Katalog der Hochschule 
regelmäßig nach Fachliteratur sucht, 
beanstandete dies und verlangte den 
Dienst Cookiebot nicht weiter in die 
Website einzubinden. Durch den Dienst 
werde seine IP-Adresse an einen Cloud- 
Anbieter mit Sitz in den USA übermit- 
telt. Der Daten-Export in die USA sei 
rechtswidrig, weil die USA keinen mit 
EU-Standards vergleichbaren Daten- 
schutz bieten. 

Das VG gab dem Antrag statt und un- 
tersagte der Hochschule den Einsatz des 
Cookiebot vorläufig mittels einstweili- 
ger Anordnung. Die Hochschule sei für 
die Übertragung der IP-Adressen in die 
USA verantwortlich, da sie die Website 
betreibe. Dieser Export verstoße gegen 
Art. 44 DSGVO. Das VG verwies darauf, 
dass die Hochschule keine Einwilligung 
der Website-Besucher für den Datenex- 
port einhole. 

Der VGH hob die einstweilige An- 
ordnung des VG Wiesbaden auf, weil er 


keinen Bedarf zur Eile sah. Zudem seien 
die schwierigen Rechtsfragen nicht im 
Eilverfahren sondern in einem Haupt- 
sacheverfahren zu beantworten. Damit 
darf die Hochschule den Dienst Cookie- 
bot zunächst weiternutzen. 

Dieses Verfahren hat große Bedeu- 
tung für eine Vielzahl von Websites, da 
viele Betreiber Cookie-Consent-Dienste 
oder auch andere Dienste aufihren Web- 
sites benutzen, bei denen IP-Adressen 
und andere personenbezogene Daten in 
die USA gelangen können. 

Fragen zur Nutzung von Consent- 
Management-Plattformen haben eine 
weitreichende Bedeutung und sind 
komplex. Der Datenexport in die USA 
steht auf vielen Ebenen im Fokus. Die 
deutschen Datenschutzbehörden ha- 
ben im Dezember 2021 dazu die Ori- 
entierungshilfe Telemedien veröffent- 
licht und äußerten sich zu dem Export 
von IP-Adressen und anderen perso- 
nenbezogenen Daten in die USA äu- 
ßerst kritisch. Sie betonen, dass eine 
Einbindung solcher Dienste in Websei- 
ten nur zulässig sei, wenn die Recht- 
mäßigkeit des Datenexports zuvor ge- 
prüft wurde. Damit sind die Behörden 
strenger als das VG Wiesbaden. Das VG 
hatte seine einstweilige Entscheidung 
wesentlich darauf gestützt, dass der 
Webseitenbetreiber keine Einwilligung 
in den Export einholt. Das Gericht 
war der Ansicht, die Daten hätten in 
die USA übermittelt werden dürfen, 
hätten die Website-Besucher zuvor 
eingewilligt. Viele Websites holen in 
der Praxis zusammen mit der Einwilli- 
gung in das Setzen von Cookies auch 
die Einwilligung zum Datenexport. Die 
Datenschutzbehörden halten dagegen 
solche Einwilligungen in den Daten- 
export für unwirksam, dieser sei daher 
rechtswidrig. 

Das Landgericht (LG) München hat in 
einem aktuellen Urteil noch auf einen 
weiteren Aspekt hingewiesen. Hier ging 
es darum, dass ein Website-Betreiber 
Google Fonts nutzte und beim Aufruf 
der Google-Server die IP-Adressen der 
Website-Besucher an Google übermit- 
telt werden. Das ist nach Ansicht des 
Landgerichts rechtswidrig, da es keine 
Rechtsgrundlage für die Übermittlung 
gibt. Daher hat das LG München den Be- 
treiber der Website zu einem Schadens- 
ersatz von 100 Euro verurteilt (Az. 3 
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0 17493/20). Das Urteil ist noch nicht 
rechtskräftig. 100 Euro sind zwar nicht 
viel. Wenn aber alle Besucher einer Web- 
site klagen, können schnell hohe Beträ- 
ge zusammenkommen (Böken, Daten 
in die USA: Hochschule RheinMain darf 
Cookiebot vorläufig weiter nutzen, www. 
heise.de 02.02.2022, Kurzlink: https:// 
heise.de/-6345246). 


LG München I 


Kontosperrung bei Ver- 
sendung von Kinderporno- 
grafie 


Gemäß eines Urteils des Landge- 
richts München I (LG) vom 31.01.2022 
darf Facebook Nutzer, die kinderpor- 
nografische Fotos verschicken, ohne 
Vorwarnung aussperren (Az. 42 0 
4307/19). Die Richter wiesen damit 
die Klage eines Mannes ab, dessen Nut- 
zerkonto Facebook im Dezember 2018 
umstandslos gesperrt hatte. Der Mann 
hatte über den Facebook-Messenger- 
dienst neun pornografische Mädchen- 
fotos an einen Freund geschickt. Die 
von Facebook zur Ausfilterung von Por- 
nografie eingesetzte Software erkannte 
die Bilder; daraufhin wurde das Konto 
unvermittelt gesperrt. Der Mann hatte 
sich zunächst bei Facebook beschwert, 
woraufhin das US-Unternehmen nach 
einer Überprüfung des Vorgangs die 
Kontosperrung bekräftigte. Anschlie- 
ßend reichte der Mann Klage ein, unter 
anderem mit dem Argument, dass er 
die Fotos nicht öffentlich, sondern nur 
privat verschickt hatte. 

Die 42. Zivilkammer wies die Klage 
ab. Demnach ist Facebook bei Vorlie- 
gen eines wichtigen Grunds zur außer- 
ordentlichen Kündigung berechtigt, in 
Ausnahmefällen auch ohne vorherige 
Ankündigung. Das Verschicken von 
Kinderpornografie sei ein wichtiger 
Grund, der eine solche Ausnahme recht- 
fertigt. Es obliege Facebook im eigenen 
Unternehmensinteresse Beiträge mit 
strafbaren Inhalten zu löschen oder zu 
sperren. Der Kläger hatte argumentiert, 
die Kontosperrung verletze sein Recht 
auf Meinungsäußerung. Nach Überzeu- 
gung der Richter ist Pornografie keine 
Meinung (Facebook darf Nutzer aus- 
sperren, SZ 03.02.2022, 23). 
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Buchbesprechungen 


CHBECK 


Engelbrecht, Kai/Schwabenbauer, 
Thomas (Hrsg.) 

Bundesmeldegesetz - Kommentar 
C.H.Beck-Verlag, München 2022 

ISBN 978 3 406 70222 8, 512 S., 119,00 € 


(tw) So zahlreich die Literatur - und 
inzwischen auch die Rechtsprechung - 
zur DSGVO ist, so rar sind die Quellen 
zu vielen bereichsspezifischen Daten- 
schutzthemen. Zu diesen Defizitsek- 
toren gehörte bisher auch das Melde- 
recht. Dieses trat schon 2015 in neuer 
Form zentralisiert als Bundesmeldege- 
setz in Kraft und wurde seitdem bereits 
19 Mal geändert - nicht nur wegen 
der DSGVO, sondern zuletzt wegen der 
völlig neu ausgerichteten eGovern- 
ment-Strategie der früheren Bundes- 
regierung mit dem Registermoderni- 
sierungsgesetz. Dieser Strategieansatz 
wird - so der neue Koalitionsvertrag - 
von der neuen Bundesregierung wei- 
terverfolgt, zumal Teile des Gesetzes 
am 01.05.2022 in Kraft traten, bei eini- 
gen Teilen wird es ein Jahr später sein 
und nochmals einige - wesentliche - 
Teile erst, wenn die hierfür nötigen 
technischen Voraussetzungen geschaf- 
fen wurden. Mit der Registermoderni- 
sierung sollnun endlich ernst gemacht 
werden hinsichtlich einer digitalisier- 
ten Verwaltung. Zentrale Datengrund- 
lage hierfür bleiben die kommunalen 
Melderegister, die aber inzwischen 
bundesgesetzlich einheitlich geregelt 


und über die geplante ID-Nummer und 
die Registermodernisierung zusam- 
mengeführt werden sollen. 

Nach der erfolgten Regulierung 
kommt die Umsetzung. Für die Umset- 
zung bedarf es der Gesetzeskommentie- 
rung. Und diese ließ bisher zu wünschen 
übrig; es gab eine nicht vollständige Lo- 
seblattkommentierung, herausgegeben 
von Süßmuth/Laier. Die Wünsche wer- 
den nun erfüllt durch den vorliegenden 
Kommentar des Beck-Verlags in dessen 
orangener Reihe. Für einen Datenschüt- 
zer werden fast alle Wünsche erfüllt. 
Dies liegt daran, dass die Kommentie- 
rung nicht von Ministerialbeamten er- 
folgt, dieschon für die Ausarbeitung der 
Gesetzentwürfe verantwortlich waren, 
sondern durch DatenschützerInnen, die 
sich teilweise mit ihrer kritischen Sicht 
schon bisher einen Namen gemacht ha- 
ben und die zugleich einen juristischen 
Blick auf die teilweise komplexe Praxis 
haben: Corinna Holländer, Imke Som- 
mer, Walter Hänsle, Nils Leopold und 
Sven Polenz sowie als Herausgeber Kai 
Engelbrecht sowie der Verwaltungsrich- 
ter Thomas Schwabenbauer. 

Erfreulich ist die durchgängig hohe 
Qualität der Erläuterungen, die sich 
zwar nahe am Gesetzestext orientie- 
ren, aber nicht auf die Wiedergabe der 
Gesetzesbegründung beschränken, 
sondern die Geschichte der Regelun- 
gen beleuchten - das Melderecht war 
schließlich in den 70ern die Mutter 
des Datenschutzrechts - und in die 
Konkretisierungen des Verordnungs- 
und des Landesrechts verweisen eben- 
so wie in die Zukunft mit den anste- 
henden, noch nicht in Kraft befindli- 
chen Regeln. Bei Bedarf werden die 
Regelungen verfassungskritisch hin- 
terfragt und für falsch befunden - so 
etwa die von Anfang an fragwürdige, 
inzwischen offensichtlich überholte 
Hotelmeldepflicht. Die Kommentie- 
rung erfolgt nicht nur aus Sicht der 
Betroffenen und der Meldebehörden, 
sondern auch mit dem Blick auf die Be- 
darfsträger - von den Waffenbehörden 
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oder der Polizei über die Werbewirt- 
schaft und die politischen Parteien bis 
hin zu den Religionsgesellschaften. 
Die vorhandenen Quellen und die we- 
nige verfügbare Literatur wird weitge- 
hend - wohl nicht bis in alle Landes- 
verästelungen und bereichsspezifi- 
schen Schnittstellen - rezipiert. Die 
technischen Rechtsbezüge werden 
erläutert, ebenso zumindest in Grund- 
zügen die europarechtliche Basis in 
der DSGVO. Das Stichwortverzeichnis 
ist leider eher knapp und selektiv. Wer 
also künftig mit dem Melderecht zu 
tun hat, dem kann dringend empfoh- 
len werden sich zunächst einmal im 
Engelbrecht/Schwabenbauer schlau 
zu machen. 


ta md 


Künstliche Intelligenz 
und Datenschutz 


mer htm ma ren 


a ea 


Vogel,Paul 

Künstliche Intelligenz und Daten- 
schutz 

Nomos Verlag, Baden-Baden 2022 
ISBN 978-3-84876-8703-6, 262 S. 


(tw) Beim Verfassen von Studien zum 
Datenschutz besteht ein generelles 
Problem: Die technische und rechtli- 
che Entwicklung kann schneller sein 
als das Buch gedruckt. Erst recht gilt 
dies, wenn es sich bei dem Buch um 
eine Doktorarbeit handelt, die vor ihrer 
Druckveröffentlichung von zwei Pro- 
motionsqutachtern begutachtet und 
bewertet werden muss. Dieses Schick- 
sal hat bei der vorliegenden Arbeit von 
Paul Vogel voll zugeschlagen, der sich 
dem hochaktuellen Thema der Künst- 
lichen Intelligenz und dessen Daten- 
schutzverträglichkeit aus juristischer 
Sicht nähert und für seine Arbeit auch 
noch mit dem vielversprechenden Un- 
tertitel „Vereinbarkeit intransparenter 
Systeme mit geltendem Datenschutz- 
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recht und potenzielle Requlierungsan- 
sätze“ eine umfassende und zugleich 
zukunftsgerichtete Darstellung ver- 
spricht. 

Die Promotion wurde im Winterse- 
mester 2019/2020 angenommen. Im 
Vorwort wird angekündigt, dass die 
ausgewählte Literatur und gesetzge- 
berische Bestrebungen bis 2021 nach- 
träglich berücksichtigt worden seien. 

Mit Datum vom 21.04.2021, also 
genügend Zeit vor der Endredaktion, 
legte die EU-Kommission einen Verord- 
nungsentwurf „zur Festlegung harmo- 
nisierter Vorschriften für künstliche 
Intelligenz (Gesetz über künstliche 
Intelligenz)” vor, nachdem die EU-Ver- 
waltung ein aufwändiges Anhörungs- 
verfahren durchgeführt hatte, in dem 
aus der Praxis und der Wissenschaft 
viele Regulierungsanregungen einflos- 
sen, die noch nicht im Ansatz bei der 
Vordiskussion des Themas in der High 
Level-Group erkennbar waren. 

Es ist nun schade, dass diese Ent- 
wicklungen in der Arbeit nur kurz dar- 
gestellt, aber nicht reflektiert werden. 
So halten wir ein Buch in den Händen, 
das - eher journalistisch - die Diskri- 
minierungsrisiken von Künstlicher In- 
telligenz (KI) thematisiert, aber nicht 
den Bogen direkt zum Datenschutz- 
recht schlägt, und das es leider auch 
versäumt den Datenschutz bei diesem 
grundlegenden Thema in einen umfas- 
senderen Kontext des digitalen Grund- 
rechtsschutzes zu stellen. Schon gar 
nicht wird der risikobasierte Ansatz 
des Entwurfes für ein KI-Gesetz der 
EU nachvollzogen, geschweige denn 
vorgedacht, der diesen Entwurf be- 
herrscht und der insofern in einem 
Gleichklang zum risikobasierten An- 
satz der DSGVO steht. 

Auch mit der Hoffnung dogmatisch 
entschädigt zu werden, wird man 
teilweise enttäuscht. Zwei zentrale, 
spannende Fragen bei KI-Nutzungen 
sind die nach der (gemeinsamen?) 
Verantwortlichkeit und die nach der 
Gewährleistung der Datenrichtigkeit 
beim Trainieren von KI, was es nötig 
macht KI komplex - in der zeitlichen 
Abfolge wie auch hinsichtlich der Be- 
teiligten - zu beleuchten. Leider gibt 
es auch hierzu keine Ausführungen. 
Was übrig bleibt, ist eine Bearbeitung 
der Transparenzproblematik. Vogel 


geht dabei juristisch gediegen vor, in- 
dem er hohe Transparenzanforderun- 
gen ableitet und die Voraussetzungen 
des Art. 22 DSGVO prüft der „automa- 
tisierte Entscheidungen” zu regulieren 
versucht. Nachvollziehbar begründet 
er dann, dass die Betroffenen ein Recht 
auf Information, auf Erklärung und 
auf menschliche Überprüfung der KI- 
Entscheidung haben. Aber selbst hier 
bleibt der Autor hinter den Erwartun- 
gen des zweifellos anspruchsvollen 
Rezensenten zurück. So wäre gerade 
der verfassungsrechtliche Anspruch 
des Transparenzanspruchs angesichts 
der digitalen Herausforderungen ab- 
zuleiten gewesen, und dann wären in 
einem zweiten Schritt dieser Anspruch 
mit konkurrierenden Grundrechten - 
geistiges Eigentum, Betriebs- und Ge- 
schäftsgeheimnisse - abzuschichten 
und zudem ins Verhältnis zu Gemein- 
schaftswerten (z.B. Demokratieprin- 
zip; Schutz vor Manipulation) zu setzen 
gewesen. In diesem Zusammenhang 
wäre es dann zu erwarten, sich mit 
der immer noch beständigen Recht- 
sprechung des Bundesgerichtshofs zu 
Scoringverfahren als Geschäftsgeheim- 
nisse auseinanderzusetzen. Spannend 
wäre auch eine Systematisierung der 
Risikolagen beim KI-Einsatz unter Ein- 
ordnung in bestimmte Anwendungsbe- 
reiche (z.B. Medizin, Verkehr, Finanz- 
wirtschaft). 

Was nun vorliegt, ist eben eine ge- 
diegene Literaturarbeit unter Heran- 
ziehung juristischer Publikationen, die 
teilweise selbst unter den in der vorlie- 
genden Rezension kritisierten Defizi- 
ten leiden. Schade: Das Thema ist viel- 
versprechend. Vielleicht bearbeitet es 
in zeitlicher Nähe jemand auf aktueller 
Höhe und umfassend. Dabei soll nicht 
verschwiegen werden, dass der Stil und 
Form des Buchs äußerst ansprechend 
sind und die Quellenhinweise einen 
ganz guten Überblick über die Litera- 
tur bis 2019 geben. Für die Auslegung 
des Art. 22 DSGVO werden einige posi- 
tive Erwägungen vorgetragen, so dass 
auch ein direkter praktischer Nutzen 
gezogen werden kann. Doch die Regu- 
lierungsansätze bleiben im klassischen 
Datenschutzniveau verhaftet und blei- 
ben hinter den Möglichkeiten und eben 
auch hinter dem Entwurf eines KI-Ge- 
setzes zurück. 
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Datenschutzrechtliche 
Rahmenbedingungen 
medizinischer 


Forschung 


Weichert, Thilo 
Datenschutzrechtliche Rahmenbe- 
dingungen medizinischer Forschung 
Vorgaben der EU-Datenschutz-Grund- 
verordnung und national geltender 
Gesetze 

Medizinisch Wissenschaftliche Verlags- 
gesellschaft, Berlin 2022 

ISBN 9783 95466 689 8, 243 S., 59,95 € 


(kjr) Im Koalitionsvertrag der Ampel 
wird angekündigt, dass in der 20. Le- 
gislaturperiode des Bundestags ein For- 
schungsdatengesetz und ein Gesund- 
heitsdatennutzungsgesetz erarbeitet 
und dass eine dezentrale Forschungs- 
dateninfrastruktur etabliert werde (vgl. 
DANA 1/2022, 20 f.). Hintergrund die- 
ser Zusagen ist eine seit ca. 5 Jahren 
verstärkt geführte Diskussion darüber, 
dass die rechtlichen Grundlagen insbe- 
sondere für die medizinische Forschung 
in Deutschland wissenschafts- und da- 
tenschutzfeindlich seien (vgl. DANA 
4/2017, 193 ff.). Den juristischen Beleg 
hierfür liefert nun das Buch von Wei- 
chert, das im Auftrag der „Technologie- 
und Methodenplattform für die vernetz- 
te medizinische Forschung e.V.” (TMF) 
verfasst und in der Schriftreihe der TMF 
als Band 19 veröffentlicht ist. Weichert 
hat sich die Aufgabe gestellt nach Än- 
derungen des Rechts zum Patientenge- 
heimnis und insbesondere nach Wirk- 
samwerden der Datenschutz-Grundver- 
ordnung (DSGVO) und der nationalen 
Folgeregelungen den neuen rechtlichen 
Rahmen für medizinische Forschung zu 
beschreiben, um den Forschenden in- 
sofern die nötige Rechtssicherheit zu 
verschaffen. 

Gemäß dieser Zielsetzung beschreibt 
das Werk zunächst die Wechselwirkung 
zwischen Forschungsfreiheit und Da- 
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tenschutz auf Verfassungsebene und 
dann, wie diese in der DSGVO präzisiert 
wird. Dabei zeigt sich eine große For- 
schungsfreundlichkeit der DSGVO, die 
Sekundärnutzungen für wissenschaft- 
liche Zwecke privilegiert und sogar die 
Betroffenenrechte im öffentlichen For- 
schungsinteresse einschränkt. Möglich 
bleibt die Legitimation wissenschaft- 
licher Datenverarbeitung durch die 
Einwilligung der Betroffenen, wobei 
sich aber in der Praxis erweist, dass bei 
langfristigen Projekten, bei Register- 
speicherungen und bei offenen wissen- 
schaftlichen Fragestellungen das Inst- 
rument der Einwilligung an praktische 
Grenzen stößt. Vor diesem Hintergrund 
erklärt sich die in der DSGVO vorgese- 
hene auf einer Abwägung basierende 
Forschungsdatennutzung und die Er- 
laubnis, insofern auch die berufliche 
Schweigepflicht aufzuheben. 

Relevante Rahmenbedingungen sind 
zudem die Neuregelung der Verant- 
wortlichkeiten in der DSGVO, die im 
Forschungsbereich durch gemeinsame 
Verantwortlichkeiten und für Treuhän- 
dermodelle neue Perspektiven eröff- 
net. Der Hauptteil des Buches enthält 
so eine konsistente Darstellung aller 
rechtlichen Fragen, mit denen Medizin- 
forschende konfrontiert werden. 

Dass dies allein nicht für eine erfolgrei- 
che medizinische Forschung genügt, hat 
sich anlässlich der Corona-Pandemie ge- 
zeigt. Die rechtlichen Hintergründe für 
das Misslingen beschreibt das abschlie- 
ßende Kapitel zu „Kritik und Verbesse- 
rungsmöglichkeiten”: Der forschungs- 
freundliche Ansatz der DSGVO wurde 
nicht im nationalen Recht umgesetzt. 
Die Forschenden sehen sich mit einem 
restriktiven, sich gegenseitig widerspre- 
chenden Flickenteppich von Landes- 
und Bundesregelungen konfrontiert, der 
auch nicht durch eine Berufung auf die 
DSGVO aufgelöst werden kann. Hier führt 
dann die Feststellung des gesetzlichen 
Novellierungsbedarfs direkt zum aktuel- 
len Vorwort, in dem Weichert die Initia- 
tiven beschreibt, mit denen das Problem 
des Flickenteppichs bewältigt werden 
soll. Diese Initiativen münden genau da- 
rin, was die Koalitionsvereinbarung der 
Ampel ankündigt. 

So ist das Buch zum einen eine fun- 
dierte juristisch-dogmatische Fund- 
grube, die sämtliche rechtlichen Streit- 


fragen bei der Anwendung der DSGVO 
und des Patientengeheimnisses beant- 
wortet, und zugleich eine an den Bun- 
desgesetzgeber adressierte politische 
Streitschrift, die auf nationaler Ebene 
grundlegende rechtliche Änderungen 
einfordert. Das Buch ist auch kostenfrei 
im Internet zum Download verfügbar 
unter: 
https://www.mwv-open.de/site/ 
books/m/10.32745/9783954667000/. 


m rb 


Vernetzte Daten, 


Kühn, Boris/Gluns, Danielle 
Vernetzte Daten, vernetzte 
Behörden? 

Datenmanagement, Datenschutz 
und Kooperation in der lokalen 
Integrationsarbeit 

Hrsg.: Robert Bosch Stiftung, 
Stuttgart 2022 

ISBN 978 3 939574 705, 78S. 


(tw) Es gibt wenig Studien, in denen 
wissenschaftlich das Datenschutzrecht 
an den praktischen Bedürfnissen ge- 
messen wird. Wohl gibt es dafür umso 
mehr ein interessengeleitetes Abwat- 
schen des Datenschutzes wegen an- 
geblicher Praxisferne. Insofern geht 
die vorliegende Studie, die auf das For- 
schungsprojekt „Hand in Hand? Chan- 
cen und Risiken des Datenmanagements 
in der lokalen Integrationsarbeit” zu- 
rückgeht, einen erfreulichen Weg. Das 
Projekt wurde zwischen November 2020 
und März 2022 von der Universität Hil- 
desheim in Zusammenarbeit mit der Ro- 
bert Bosch Stiftung GmbH durchgeführt 
und durch die Beauftragte der Bundes- 
regierung für Migration, Flüchtlinge 
und Integration gefördert. 

Die Studie bringt Licht in einen bis- 
her wenig beleuchteten Bereich der 
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Datenverarbeitung zu Migranten, wo es 
nicht um die repressive oder rein admi- 
nistrative Tätigkeit der Ausländer- und 
Asylbehörden geht, sondern um die 
Unterstützung von Migranten bei de- 
ren Integration in unsere Gesellschaft 
durch Vermittlung von Sprach- und 
sonstigen Ausbildungsmöglichkeiten, 
von Wohnung und Arbeit. Diese wich- 
tige Tätigkeit wird derzeit teilweise von 
kommunalen Stellen, teilweise von pri- 
vaten und kirchlichen Einrichtungen 
vorgenommen. Dabei sind sie auf Daten 
von den Migranten angewiesen, denen 
zumeist nicht nur die Sprache, sondern 
auch die Kultur, das Vorgehen der Ver- 
waltung sowie das Recht - einschließ- 
lich des Datenschutzrechts - fremd 
sind. Zur Durchführung der Studie wur- 
den viele Gespräche mit Beteiligten der 
lokalen Migrations- und Integrationsar- 
beit sowie mit einigen Verwaltungsmit- 
arbeitern geführt und um Erkenntnisse 
aus Literaturstudien ergänzt. 

Die Studie zeigt große Datendefizite 
bei der Integrationsarbeit auf, die teil- 
weise auf Rechtsunkenntnis, aber vor- 
rangig auf Verwaltungsunwilligkeit und 
fehlende Rechtsgrundlagen zurückzu- 
führen sind. Für eine Unterstützung der 
Migranten sind fast überall Identitäts- 
und Nachweisdokumente erforderlich; 
oft sind es immer wieder die selben 
„Papiere“, die vorgelegt werden müs- 
sen. An diese Dokumente zu gelangen, 
ist für die Integrationsberater oft ein 
zeit- und personalintensives Geschäft, 
da es keine vorgegebenen Strukturen, 
Informationswege und Abläufe gibt, mit 
denen die Identität der Betroffenen ver- 
bindlich festgestellt werden kann (Once 
only) und mit denen den administrati- 
ven Anforderungen für Nachweise ge- 
nügt wird. 

In Ermangelung von Alternativen 
helfen sich die Integrationsarbeiter oft 
mit Einwilligungserklärungen der Mi- 
granten, die rechtlich fragwürdig und 
für die Betroffenen alles andere als 
verständlich und transparent sind. Oft 
formal bestehende Möglichkeiten vom 
Ausländerzentralregister bis hin zu Aus- 
kunftsansprüchen gegenüber Behörden 
werden - nicht zuletzt wegen adminis- 
trativer Abwehr - nicht genutzt. Durch 
die DSGVO gegebene Spielräume - im 
Sinne eines berechtigten oder öffentli- 
chen Interesses - werden auch wegen 
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den damit verbundenen Unsicherhei- 
ten nicht genutzt. Die Studie kommt zu 
dem Ergebnis, dass es auf verschiede- 
nen Ebenen Verbesserungsbedarf gibt: 
hinsichtlich der normativen Grundla- 
gen, der Kommunikationsschnittstel- 
len zwischen Ausländer-, Arbeits- und 
Sozialbehörden sowie den Helfenden, 
hinsichtlich einer migrationssensiblen 
Dokumenteninfrastruktur und letztlich 
der Bereitschaft aller Beteiligten zu 
einem undogmatischen kreativen Vor- 
gehen. Die Studie ist ein gutes und zu- 
gleich unschönes Beispiel dafür, wie der 
Datenschutz instrumentalisiert wird, 
um eine wichtige Aufgabe zu sabotieren 
oder zumindest zu behindern. 


Die Studie kann im Internet herunter- 
geladen werden unter: 
https://www.bosch-stiftung.de/ 
sites/default/files/publications/pdf/ 
2022-03/Robert_Bosch_Stiftung_ 
Studie_Datenmanagement_in_ 
Integrationsarbeit.pdf oder bestellt 
werden bei der Robert Bosch Stiftung 
GmbH, Heidehofstraße 31, 70184 Stutt- 
gart. 
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(tw) Juristische Dissertationen, insbe- 
sondere im Datenschutzrecht, sind im- 
mer ein Wagnis: Relativ wenig praxiser- 
fahrene Studierende am Ende des Studi- 
ums befassen sich mit einem juristischen 


Thema, um hierzu neue Erkenntnisse 
zu erlangen. Dies wagt auch Dorothee 
Heilmann mit ihrem hochambitionierten 
Titel, der Erkenntnisse zum Verhältnis 
Meinungsfreiheit nach Art. 5 GG bzw. 
Art. 11 GRCh und Persönlichkeitsrecht 
bzw. Datenschutz nach Art. 2 Abs. 1 
1.V.m. Art. 1 Abs. 1 GG bzw. Art. 8 GRCh 
verspricht. Das Thema ist hochrelevant, 
befindet sich doch die Diskussion über 
Fakenews und Hatespeach derzeit mit ei- 
ner gewaltigen praktischen Relevanz im 
Hoch. Die erste Einschränkung, die man 
als Leser zur Kenntnis nehmen muss, ist, 
dass nicht das Verhältnis von Meinungs- 
freiheit und Persönlichkeitsrechtsschutz 
generell thematisiert wird, sondern nur 
in Bezug auf Auslistungsansprüche bei 
Suchmaschinen. Eine solche Beschrän- 
kung empfiehlt sich für DoktorantInnen, 
um sich nicht zu überheben. Beim wei- 
teren Studium muss man aber feststel- 
len, dass es der Autorin eigentlich nur 
um Google Search geht, was enttäuscht, 
zumal es viele weitere Suchmaschinen 
gibt. Auch wenn Google hier fast Mono- 
polist ist, wäre gerade auch insofern eine 
differenzierende Betrachtung spannend 
gewesen. Dies gilt auch für die Frage der 
Grundrechtsbindung für private Unter- 
nehmen, wozu die Autorin - fälschlich 
und in Abweichung zur klaren Position 
des deutschen Bundesverfassungsge- 
richts - eine eher ablehnende Position 
vertritt. 

Statt sich nun mit dem Phänomen Ha- 
tespeach und Fakenews empirisch zu be- 
fassen, bevorin dierechtliche Bewertung 
eingestiegen wird, befasst sich das Werk 
- bis zum Schluss - ausschließlich mit 
rechtsdogmatischen Erwägungen. Und 
diese sind leider wenig erhellend. Dies 
beginnt damit, dass Google beim Betrieb 
seiner Suchmaschine wegen des Beitrags 
zur Meinungsbildung einen Schutz durch 
die Meinungsfreiheit zugestanden be- 
kommt. Diese - insbesondere von Google 
selbst - vertretene Ansicht mag im US- 
amerikanischen Rechtsraum zutreffen, 
ist aber für eine europäische Sichtweise 
gewagt, da die Anzeige von Suchergeb- 
nissen zunächst ausschließlich algorith- 
menbasiert erfolgt. Diese Algorithmen 
haben keine Meinungen im Blick, son- 
dern Trafic und damit Rendite, was wirt- 
schaftliche Grundrechte zur Anwendung 
bringt. Die Ansicht lässt sich allenfalls 
damit begründen, dass im Konfliktfall 
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von Google Auslistungsentscheidungen 
getroffen werden, bei denen aber vorran- 
gig die Meinungsfreiheit der betroffenen 
Inhaltsproduzenten tangiert wird. Dass 
solche Auslistungen inzwischen durch 
sog. künstliche Intelligenz erfolgen, 
wäre - auch im Hinblick auf den Schutz 
der Meinungsfreiheit - ein spannendes 
Thema gewesen. Letztlich kommt dieser 
Frage bei der weiteren Abhandlung auch 
nur eine geringe Relevanz zu, zumal von 
der Autorin ein privilegierter Schutz als 
„Presse“-Suchmaschinen - korrekt - 
nicht zugestanden wird. 

Die weitere Arbeit befasst sich ausführ- 
lich mit einer abgrenzenden Behandlung 
des Äußerungs- und des Datenschutz- 
rechts statt diese von Anfang an als die 
beiden Seiten derselben Medaille zu be- 
handeln. Diese abstrakten Erwägungen, 
die vor 10 Jahren noch Diskussionsthe- 
ma sein konnten, sollten eigentlich mit 
der DSGVO kein Thema mehr sein, die in 
Art. 1 Abs. 2 erklärtermaßen einen um- 
fassenden Ansatz des Grundrechtsschut- 
zes verfolgt. Auch die von der Autorin 
durchgeführte Differenzierung zwischen 
Datenschutz und Schutz des allgemeinen 
Persönlichkeitsrechts ist im Hinblick auf 
Internet-Suchmaschinen eher irritierend 
als erhellend. Es ist dann auch wenig er- 
staunlich, dass das Ergebnis der ausführ- 
lichen Erörterung darin besteht, dass es 
eigentlich immer auf eine Grundrechts- 
abwägung hinausläuft - egal ob erst die 
Meinungsfreiheit oder erst der Daten- 
schutz im Blick ist. 

Nun wäre es spannend gewesen, die 
Abwägungskriterien ausführlich und 
systematisch erörtert zu bekommen - im 
Sinne eines Sphärenschutzes, des Grades 
der Öffentlichkeit, der Sensitivität der 
Daten, der Eigenbeteiligung des Betroffe- 
nen, des Beitrags zur Meinungsbildung, 
des sonstigen öffentlichen Interesses an 
der Information, an Aktualität und am 
Zeitablauf, an der Relevanz als Person der 
Zeitgeschichte, Verdachtsberichterstat- 
tung, Schmähkritik... Leider nimmt die 
Arbeit auch nicht diese - sich eigentlich 
anbietende - Kurve. Stattdessen wird - 
was nicht völlig irrelevant, aber eher von 
geringer Bedeutung ist - zwischen Wort- 
und Bildberichterstattung differenziert. 

Wohl referiert sie ausführlich verschie- 
dene Urteile auch europäischer und na- 
tionaler Ebene, was zweifellos verdienst- 
voll ist. Doch gerade eine Systematisie- 
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rung wäre dringend nötig - insbesondere 
über die jeweiligen nationalen Unter- 
schiede in einer EU, in der Art. 85 DSGVO 
mitgliedstaatsübergreifend zum Thema 
Meinungsfreiheit gilt. Hier ist europä- 
ische Harmonisierung angezeigt, aber 
keine Vollharmonisierung, zumal eben 
der Art. 85 DSGVO mit gutem Grund eine 
Öffnungsklausel enthält. 

Also wäre es spannend gewesen zumin- 
dest in die Details in Deutschland einzu- 
steigen, vom uralten Kunsturhebergesetz 
über Mediengesetze bis hin zum relativ 
neuen Netzwerkdurchsetzungsgesetz. 
Doch leider wieder Fehlanzeige. Fehlan- 
zeige erst recht bzgl. des europäischen 
Digital Services Acts, der als Entwurf zwar 
erwähnt, aber inhaltlich nicht behandelt 
wird. So erleidet dasBuch noch ein weite- 
res Schicksal, das bei Dissertationen weit 
verbreitet ist: der Verlust an Aktualität 
durch Zeitablauf. Es bleibt also weiteren 
- auch juristischen - AutorInnen vor- 
behalten das Spannungsverhältnis zwi- 
schen Meinungsfreiheit und Datenschutz 
auszuleuchten, insbesondere mit seiner 
inhaltlichen und seiner prozeduralen 
Seite - auch mit dem konkreten Bezug zu 
Suchmaschinen. 
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(ha) Wer dieses 1350 Seiten umfas- 
sende Werk in der Hand hält, zweifelt an 
dem im Vorwort formulierten Ziel einer 
kompakten „Gesamtdarstellung der Ma- 
terie”. Doch das äußerst umfangreiche 


Gebiet der Künstlichen Intelligenz wird in 
diesem Band unter vielen verschiedenen 
Aspekten behandelt. Den drei Herausge- 
bern ist es zu verdanken, dass hierzu fast 
80 Autorinnen und Autoren ihren Beitrag 
geleistet haben. 

Auf die Grundlagen im ersten Teil 
folgt eine ausführliche Betrachtung ver- 
schiedener Branchen: von Mobilität, Ge- 
sundheit, Produktion und Handel über 
Arbeitsverhältnisse, Banken und Justiz 
bis zu Polizei, Verwaltung und Medien. 
Das Stichwortverzeichnis umfasst 30 
Seiten und ist generell gut nutzbar. Die 
Auflistung des Schrifttums und weiterer 
Literatur zu Beginn eines jeden Kapitels 
hilft dagegen nur dann weiter, wenn mit 
einer digitalisierten Ausgabe gearbeitet 
wird, denn alle Angaben sind als Fließ- 
text in einem kompletten Block gesetzt. 
Dasselbe Manko betrifft teils auch die 
Hyperlinks. So wird im Kapitel „Medizin 
- Gesundheit” auf Seite 602 ein Strategie- 
text der Bundesregierung aus dem Jahr 
2018 angegeben, der außer dem Namen 
der Website die Eingabe von über 50 Zif- 
fern und Zeichen erfordert. Da freut es 
dann schon, dass die Datenschutzkon- 
ferenz (DSK) für ihre Entschließung zur 
Künstlichen Intelligenz mit „/media/ 
en/20190404_hambacher-erklaerung. 
pdf“ einen verständlichen Namen ge- 
wählt hat. 

Inhaltlich tritt das Thema Datenschutz 
an verschiedenen Stellen auf, abhängig 
von der Ausrichtung der Texte mal aus- 
führlich oder nur recht knapp umrissen. 
Das grundlegende Kapitel Datenschutz 
wird von den Herausgebern Hans Steege 
und Christian Kuß selbst verantwortet. 
Sie stellen den Status Quo nach der DS- 
GVO dar und blicken mit Zitaten teils da- 
rüber hinaus: „Die Bedeutung des Markt- 
ortprinzips dürfte durch die Verwendung 
von KI zunehmen“ (S. 132). So auch im 
Bezug auf die Einwilligung nach Art. 6 
Abs. 1 lit. a DSGVO: „Die KI birgt für den 
Verantwortlichen die Herausforderung, 
die sehr komplexen Umstände in klarer 
und einfacher Sprache verständlich dar- 
zustellen” (S. 139). Präzise und kritisch 
wird die Vertragserfüllung betrachtet, 
indem konstatiert wird, dass sich der 
Einsatz einer KI zur Optimierung von Da- 
tenverarbeitungsabläufen oder zur Ver- 
besserung des Geschäftsmodells nicht auf 
Art. 6 Abs. 1 lit b stützen kann. Die klare 
Abhandlung der Datenschutzgrundsätze 
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stützt sich auf gängige Kommentare und 
die Hambacher Erklärung der DSK. Immer 
wieder wird betont, dass die Informati- 
onspflichten gegenüber der betroffenen 
Person „vor allem durch den komplexen 
Sachverhalt” (S. 150 im Zshg. mit dem 
Recht auf Löschung) eine sehr große Be- 
deutung erhalten. Der Datenschutzbei- 
trag schließt ab mit dem Profiling. Dazu 
stellen die Autoren fest, dass es sich bei 
einem durch eine KI ermittelten Profi- 
ling-Ergebnis um ein personenbezoge- 
nes Datum handelt. Sie fordern deshalb 
im Fazit „frühzeitig das Augenmerk auf 
datenschutzrechtliche Implikationen zu 
legen” (S. 152) und die Datenschutzbe- 
auftragten der Unternehmen in Projekte 
einzubinden. 

Der zweite Teil des Werkes widmet sich 
in zwei verschiedenen Bereichen dem 
Datenschutz. Hans Steege und Dr. Jut- 
ta Stender-Vorwachs betrachten im „& 3 
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Verkehr und Mobilität” das Datenschutz- 
recht beim automatisierten Fahren und 
erläutern die datenschutzrechtlichen 
Prinzipien Privacy by Design und Privacy 
by Default. Sie stellen sowohl die Prob- 
leme bei der Erprobung von Fahrzeugen 
als auch beim späteren Betrieb vor. Auch 
hier wird angeregt, dass Datenschutz „be- 
reits bei der Konzeption des Fahrzeugs 
berücksichtigt werden“ soll (S. 376). 
Vera Jungkind und Dr. Susanne Koch 
beschreiben im „g 4 Medizin - Gesund- 
heit“ den Datenschutz im Gesundheits- 
wesen. Sie analysieren das Datenschutz- 
recht einerseits im Zusammenhang mit 
der Generierung von KI-Anwendungen 
und andererseits mit deren Einsatz. Die 
knappe Darstellung nimmt aber keinen 
Bezug auf das Datenschutzkapitel. Als 
Fazit schließt dieser Beitrag mit sieben 
Hinweisen für die Praxis ab, unter ande- 
rem mit dem Schlusssatz: „Bei Verletzung 


datenschutzrechtlicher Vorgaben drohen 
empfindliche Sanktionen” (S. 611), der 
insofern erwähnenswert ist, als er im 
Stichwortverzeichnis als einziger unter 
„Ssanktion” eingetragen ist. 

Damit schließt sich der Kreis zum ein- 
gangs erwähnten Stichwortverzeichnis: 
In Bezug auf den Datenschutz befremdet 
es ein wenig, dass unter „Einwilligung 
in die Datenverarbeitung” lediglich auf 
„8 4 Medizin - Gesundheit” verwiesen 
wird, während das Grundlagenkapitel von 
Steege und Kuß unter „Einwilligung“ mit 
deutlich weniger Einträgen verzeichnet 
ist. Sehr viel besser ist dies beim Begriff 
„Personenbezogene Daten” gelöst, so 
dass sich beim Rezensenten ein positi- 
ver Gesamteindruck bezüglich des Da- 
tenschutzes in diesem Sammelband ein- 
stellt. Es ist anzunehmen, dass alle ande- 
ren Rechtsgebiete gleichermaßen solide 
behandelt werden. 


MEIN CLOUD-ANBIETER IST IN- 
SOLVENT UND JETZT KOMME ICH 
NICHT MEHR AN MEINE DATEN. SIE 
HABEN SICH IN LUFT AUFGELÖST. 
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Das Ende der 
Ende-zu-Ende- 
Verschlüsselung? 


